題目描述
writeup
打開頁面是一個登錄頁面,查看源碼發現提示語句
訪問user.php發現界面爲空,此時嘗試打開備份文件,發現user.php.bak,下載後發現用戶名,根據上述源碼提示採用burpsuite爆破,配置如下,注意選取Clusterbomb模式(因爲要嘗試多個payload,詳細見:Burp Suite Intruder4種攻擊類型)
三個payload如下所示
經過一番爆破後發現兩個有用的信息
選取其中一個登錄,發現依然是空白,查看源碼發現
我們可以看到提示這個表單存在漏洞,所以我們可以按F12然後把表單取消註釋(選中<center>右鍵選擇編輯html)
嘗試上傳一個正常jpg圖片提示文件名不合法,猜想這裏並不是真的文件上傳,並不是用菜刀連上找flag。只是構造文件名,並且上傳到服務器成爲可執行文件便可通過。
Apache 配置文件中會有
.+.ph(p[345]?|t|tml
.+\.phps$
文件名滿足即可被當做php解析,也就是說php3,php4,php5,pht,phtml,phps都是可以被解析的。
嘗試.pht發現返回view.php
其實這個view.php通過文件掃描也可能被找到,我用的dirsearch就發現這個文件
進入view.php,提示file? ,應該是file傳參
構造?file=flag.php
提示flag被過濾,嘗試雙寫大小寫也不行,最終發現構造
?file=flaflagg
發現flag
吐槽一句這個file也太迷惑人了,我以爲必須是個文件纔行。。。
小結
這道題涉及到了文件泄露、爆破、文件上傳繞過、關鍵字繞過。非常好的一道題目,在此特別記錄,文中如有錯誤,請聯繫我更正。