点击路径,进入页面,尝试攻克。
admin/admin 弱口令成功登录
寻找能进行文件上传的地方,点击“文件管理”
尝试上传php后缀的一句话木马文件,发现失败
上传png后缀的一句话木马文件,发现成功
对文件重命名前打开bp,进行抓包,修改后缀名
删除.htaccess文件(这是一种apache的配置文件,通过该配置文件可以指定将某类或某个文件解析成×××文件)
找到URL地址,使用中国蚁剑添加数据,测试连接,发现成功
双击进入新添加数据后,找到上传的文件,并打开终端
输入如上信息,可得到flag
粘贴在此处并提交,攻克成功。