i春秋——“百度杯”CTF比賽 九月場——123(Apache解析pht,phtml,php3等 php別名)
阿新 • • 發佈:2018-10-13
正則 並不是 src 內容 img 直接 ctf inf bubuko
網頁源碼提示用戶信息在user.php中,直接訪問是不會有顯示的,於是查找相應的備份文件,vim交換文件等,最後發現/user.php.bak
用burp采用如下配置開始爆破
最後爆破出兩個賬號
登錄之後查看源碼,發現一個被註釋的表單,看似應該存在文件上傳漏洞,在頁面按F12,更改網頁,去掉註釋
本來想上傳一句話的,但是發現就算上傳普通圖片文件和圖片文件名也會提示文件名非法,猜想這裏並不是真的文件上傳,並不是用菜刀連上找flag。只是構造文件名,並且上傳到服務器成為可執行文件便可通過。所以文件內容無所謂,我直接是空的,只要構造文件名即可。
Apache 配置文件中會有.+.ph(p[345]?|t|tml)
此類的正則表達式,文件名滿足即可被當做php解析,也就是說php3,php4,php5,pht,phtml都
是可以被解析的。
於是構造如下
訪問view.php,看到file?,應該是提示提交get參數,隨便提交一個
提示了flag,也提示了flag關鍵字會被過濾,所以雙寫繞過
i春秋——“百度杯”CTF比賽 九月場——123(Apache解析pht,phtml,php3等 php別名)