打开以后是一个文件上传的界面,然后用burp抓包看一下
传入一个php文件,发现php是不行滴,然后想到用phtml改一下后缀,看是否可以略过
然后发现掠过了,爆出来了路径,上传成功,直接用蚁建 lianjie
链接成功,然后目录寻找flag
[SWPUCTF 2021 新生赛]easyupload2.0
打开后传入一个图片码,看代码发现上传成功,然后改成php 发现成功直接连蚁建,发现flag$flag = 'WLLMCTF{I_d0nt_w4nna_wak3up}';是假的,然后看了一下别的师傅writeup,说是写phpinfo上传就可以看到flag。重新写一下phpinfo上传
<php phpinfo();?>代替一句话木马
然后打开路径在url,一直往下翻找到flag嘻嘻
[SWPUCTF 2021 新生赛]easyupload3.0
这个可谓是一波三折,一个细节弄了我好几天
就这一步还没看出来如何获取的Apache,看别的wp首先弄个报错出来,随便弄一下,比如弄出一个not found页面,发现是Apache/2.4.7 (Ubuntu) ,既然是 Apache,于是就利用.htaccess来getshell。
直接上传一个.htaccess文件记住不能.前面不能加任何字符,
然后send to repeater,send发现文件上传成功,看我鼠标标注的地方,记住FIlewatch后面跟的是文件名,如果你要上传的filename包含这个文件名,则会以PHP的形式上传。
然后进行上传2.jpg文件,里面是一句话木马
<?php eval($_POST['pw']); ?>例如这样,然后filename=2.jpg send发送成功
上蚁建便可以获取,重点是一句话代码与上一行应有一行的空格。不然就不对了
.htaccess文件
<FilesMatch "2.jpg">
SetHandler application/x-httpd-php
</FilesMatch>