ciscn2022华中赛区web部分wp

发表于2022-07-12|更新于2022-07-12|比赛wp

|字数总计:190|阅读时长:1分钟|阅读量:

ciscn2022华中分区web部分wp

[toc]

FakeUpload1

题目描述：嘶，长得好像上传呀。提交 flag 格式：flag{xxxx}。URL：http://该题目IP为Web赛题中【ctf赛题环境】的IP:58002

不是文件上传，是文件读取

当访问pics/1.jpg的时候，url变为了reader.php?filename=pics/1.jpg

所以直接修改报文，读取flag.php

Identity23

题目端口58003

disearch扫描

传参，找到一个php A0ther_hldden_PaGe.php

访问 A0ther_hldden_PaGe.php 可以上传文件，有一些防护

上传.htaccess文件

1	AddType application/x-httpd-php .jpg

然后上传，注意修改报文

传一个图片马1.jpg

然后蚁剑连接因为1.jpg是之前上传的图片马，现在被当作php解析了

蚁剑连接查看该文件即可

文章作者: Sk1y

文章链接: https://sk1y233.github.io/2022/07/12/ciscn2022%E5%8D%8E%E4%B8%AD%E8%B5%9B%E5%8C%BAweb%E9%83%A8%E5%88%86wp/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Sk1y's Blog！

相关推荐

ciscn2022-web-会聊天的机器人

2022年蓝贝国际创新创业大赛数字技术+信息安全领域赛道网络攻防大赛wp

2022羊城杯-Web

2022祥云杯初赛

第五届强网拟态防御国际精英挑战赛

评论

数据库加载中