GKCTF2020 - Web(老八小超市儿)
最新推荐文章于 2024-03-04 09:16:12 发布
本文介绍了GKCTF2020中的一道Web安全题目,涉及shopxo开源系统的一个漏洞。题目允许通过账号admin和密码shopxo登录后台,并在特定目录上传zip文件。利用文件上传漏洞,作者成功上传了php木马并通过蚁剑连接。尽管在根目录下找到的flag是假的,但发现一个.sh脚本每60秒运行py文件。通过修改py文件,作者得以在60秒后访问到根目录的1.txt,从而获取到真正的flag。总结中强调了利用系统漏洞、弱命令和文件上传权限的重要性。
摘要由CSDN通过智能技术生成