[SWPUCTF 2021 新生赛]easyupload2.0

[SWPUCTF 2021 新生赛]easyupload2.0_第1张图片

打开以后是一个文件上传的界面,然后用burp抓包看一下[SWPUCTF 2021 新生赛]easyupload2.0_第2张图片

传入一个php文件,发现php是不行滴,然后想到用phtml改一下后[SWPUCTF 2021 新生赛]easyupload2.0_第3张图片缀,看是否可以略过 

然后发现掠过了,爆出来了路径,上传成功,直接用蚁建 lianjie[SWPUCTF 2021 新生赛]easyupload2.0_第4张图片

链接成功,然后目录寻找flag

[SWPUCTF 2021 新生赛]easyupload2.0

[SWPUCTF 2021 新生赛]easyupload2.0_第5张图片

打开后传入一个图片码,看代码发现上传成功,然后改成php[SWPUCTF 2021 新生赛]easyupload2.0_第6张图片 发现成功直接连蚁建,发现flag$flag = 'WLLMCTF{I_d0nt_w4nna_wak3up}';是假的,然后看了一下别的师傅writeup,说是写phpinfo上传就可以看到flag。重新写一下phpinfo上传

代替一句话木马

[SWPUCTF 2021 新生赛]easyupload2.0_第7张图片

然后打开路径在url,一直往下翻找到flag嘻嘻 

[SWPUCTF 2021 新生赛]easyupload3.0

这个可谓是一波三折,一个细节弄了我好几天

就这一步还没看出来如何获取的Apache,看别的wp首先弄个报错出来,随便弄一下,比如弄出一个not found页面,发现是Apache/2.4.7 (Ubuntu) ,既然是 Apache,于是就利用.htaccess来getshell。

直接上传一个.htaccess文件记住不能.前面不能加任何字符,

[SWPUCTF 2021 新生赛]easyupload2.0_第8张图片

 然后send to repeater,send发现文件上传成功,看我鼠标标注的地方,记住FIlewatch后面跟的是文件名,如果你要上传的filename包含这个文件名,则会以PHP的形式上传。

然后进行上传2.jpg文件,里面是一句话木马

例如这样,然后filename=2.jpg    send发送成功

上蚁建便可以获取,重点是一句话代码与上一行应有一行的空格。不然就不对了

[SWPUCTF 2021 新生赛]easyupload2.0_第9张图片

 .htaccess文件

  SetHandler application/x-httpd-php

你可能感兴趣的:(php,开发语言)