集训第四周 星期五
知识点:1.图片路径可以再页面源代码找到 2.%00可以截断文件按包含的后缀
打开题后,扫视了一圈,页面源代码和数据包没有什么提示。于是去看URL,发现有一个page参数,让后想到文件包含漏洞,试了一下,确实可以包含,但是把“://”给过滤了,没法远程包含了,也没有办法用php://伪协议了。
然后发现又有一个文件上传界面,应该想到文件上传和文件包含结合的。但是我还是直接上传一句话木马了,发现上传不了,我直接上传jpg格式的一句话木马,发现也不行。
最后才想到上传图片马,试了一下,发现可以上传。然后去view里找到图片的路径,原来打开页面源代码,就可以看见路径,我才知道。这里还有一个事,此时页面的url是http://web.jarvisoj.com:32785/show.php?id=xxx&type=jpg 而图片的url是upload/xxx.jpg
说明这个图片应该在网站的根目录下的upload目录下,即http://web.jarvisoj.com:32785/upload/xxx.jpg。
成功在向我们招手,到文件包含那个界面,然后包含刚才的图片,结果不行,那个后面会自己加个.php
这里又学到一个东西,%00可以把后面的.php给阶段。原来也知道,但没有怎么用过,就给忘了。试了一下,还是不行,但是有不一样的回显了。猜是过滤了一句话中的<?之类的
然后就看题解把,题解说是要把一句话木马换个形式。这句话应该不难理解把,把它放到图片里,上传,再去包含,记得%00阶段后面的.php,让后就出flag了。
<script language="php">@eval($_POST['a']);</script>