一道简单的命令注入题,打开靶机
可以看到很明显的提示:通过POST方法传入的Syc参数会被php中的eval执行
我们直接用burp捕获请求,然后将请求方法改为POST,传入Syc=phpinfo();试一下,要注意需要加上分号。
可以看到服务器执行了phpinfo(),有效果。查看一下根目录 Sys=system(“ls /");
可以看到根目录下有个flag文件,我们猫一下它 Sys=system("cat /flag");
这里注意有个大坑,传入这些命令的回显因为不是html中的标记,而且题目中把背景给填充满了,所以如果在Render或者浏览器中查看,是看不到回显内容的,容易当成没有注入成功!!!!,我这里卡了好久,各种尝试,最后看Pretty界面才发现已经成功了。
当然了,也可以用蚁剑做,那就简单了,用Syc连接后,就可以登入管理了。
接下来还不是想怎么看就怎么看