![](https://img-blog.csdnimg.cn/img_convert/faf05ca47744fa21ef4fb37369fc9741.png)
好家伙,一打开就是个phpinfo,看看了感觉暂时没有什么利用的东西,扫一下目录吧
使用dirsearch扫描,发现/.git/index的一个目录文件,访问下载他
python dirsearch.py -u " http://98c1d213-ce9d-4415-99b1-2b4f2c804303.challenge.ctf.show/" -e php
备注:-u指定url -e指定网站语言
![](https://img-blog.csdnimg.cn/img_convert/75b36fd516e3523fb816ddba51ec5d17.png)
![](https://img-blog.csdnimg.cn/img_convert/1d23566c2f2947094dc1789a572bf178.png)
把index扔到linux下,cat一下,发现一个backdoor.php的目录
![](https://img-blog.csdnimg.cn/img_convert/ce4ba1b752213304880726c885270206.png)
访问backdoor.php,发现是个空白页,查看源代码,注释中有一句话 ”36D姑娘留的后门,闲人免进“
![](https://img-blog.csdnimg.cn/img_convert/7681a87b40c783dc5e3b8287da2b0c01.png)
抓包可以看到,使用post传参,但是变量名称不知道,查了其他大佬的wp,变量名称为Letmein(后门),传入参数Letmein=print_r(glob("*"));得到Array ( [0] => backdoor.php [1] => index.php )
![](https://img-blog.csdnimg.cn/img_convert/ab2c291c2e74f4f722f3a86cc769d2ad.png)
使用高亮函数传入参数,得到后门的密码Letmein
Letmein=highlight_file("backdoor.php");
![](https://img-blog.csdnimg.cn/img_convert/0615f44e5e206f071871f157ef764f12.png)
使用蚁剑连接后门
![](https://img-blog.csdnimg.cn/img_convert/45a462b248554693d49cfe161aa22403.png)
在/var/www下有flag.txt的文件,但是在蚁剑中无法直接查看
![](https://img-blog.csdnimg.cn/img_convert/dbea91c2c3bda74d7f2e94fa00c4e0af.png)
回到浏览器,使用高亮函数传参,查看/var/www/flag.txt的内容,得到flag
Letmein=highlight_file("/var/www/flag.txt");
![](https://img-blog.csdnimg.cn/img_convert/9dbe974d2d585e4171b5dd6ac3a771ca.png)