思路: 文件遍历+重命名文件覆盖
访问是一个文件系统看着像
点击登录
要使用密码,这里爆破无果。
开启burp抓包
访问test.txt
去掉v 参数直接下载
有个二维码 ,扫码访问和点击是一样的
历史包存在这么一个参数
通过测试这个filepath参数可以目录遍历
但是读取不了flag
通过查找可以发现flag在flag/flag/flag.txt 里面
当读到第一级目录的时候 ,发现存在一个base系列的编码
解码后
YWRtaW46Z2RnbS5lZHUuY25ATTFuOUsxbjlQQGFz
admin:gdgm.edu.cn@M1n9K1n9P@as
账号密码了应该是
登录成功发现多了很多功能,存在一个文件上传
先试试
上传一个一句话 ,但是不解析,测试了很多后缀都无果
测试重命名,这个功能
抓包发现 ,他这里old 老的 ,带有一个/a.php ,
那我们看不了flag.txt 能不能使用目录遍历把这个替换为flag
思路就是把old 替换为flag的地址
new 为新的
访问
flag出来了