[GKCTF 2021]easycms
一进来很莫名其妙,点什么都没反应,于是用dirsearch扫一下目录,在扫描是用很多状态码是200的无用响应,根据它们的长度过滤一下就行了,命令
dirsearch -u http://node7.anna.nssctf.cn:xxxxx/ –exclude-sizes=20KB,21KB
扫出admin.php,访问可以看到一个表单,账号admin,密码12345
最后到了一个页面
这的功能还挺多的,在“设计->自定义“,有一个导出主题功能
随便输一点,保存后抓到一个包
这个包没什么用,把这个包放行,再收到一个包有个theme传参是一段base64编码
解码可以得到一个绝对路径
既然是通过绝对路径来下载文件的,那这里就有任意文件下载漏洞了
将其改为/flag的base64编码->放行,会得到一个flag.zip文件,打开得到flag
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Lengkur!
相关推荐
2026-03-15
[CISCN 2019华北Day2]Web1
一进来就给了flag所在的表名和列名,输入一个1,下面显示Hello, glzjin wants a girlfriend. 输入2,显示**Do you want to be my girlfriend? 又经过了几次尝试 发现注释都被过滤了,回过去一想1和2的不同显示,想到了布尔...
2026-01-16
[NISACTF 2022]level-up~robots-md5强碰撞-sha1强碰撞-php变量解析绕过-create_function绕过
1.查看源码有一个disallow,想到了robots.txt 访问看到第二关 2.是md5强碰撞 这时候要用到一个工具可以快速帮我们找到字符不一样但是md5值一样的一对 123hashclash //专门用来md5碰撞的工具里面有个md5_fastcoll命令:md5_fastcoll...
2026-01-16
[NISACTF 2022]bingdundun~-phar文件上传-phar伪协议
1.点过去,是一个文件上传页面 2.这里需要用到phar文件,phar是将多个php文件压缩起来的归档文件,相当于.jar和.zip 用于生成.phar文件的脚本 123456789<?php$payload = '<?php eval($_POST["pa...
2026-04-07
N-MinSite
进来是一个minsite,中间又一个url 1http://114.66.24.221:40835/require-maxsite/Y3RmL3VwZGF0ZS1rZXktcmVxdWlyZS1tYXhzaXRlLnBocA== 点击可以得到,key和一个路由 12Key: edge_ke...
2026-01-16
web330-存储型XSS-GET-钓鱼
1.这次多了个改密码的功能,注册登录后试了一下改密码,发现是直接改的没有要求输入旧密码,这题用到的方法像是csrf,有点像钓鱼,在修改密码确定后抓包,可以看到是在/api/change.php文件改的,get传参p 2.构造payload 1<script>...
2026-01-16
[鹤城杯 2021]Middle magic-php特性-数组绕过-弱比较
1.第一关要求aaa值为”pass_the_level_1#”,但是如果中间有level,会直接被替换 12注意看题替换的正则表达式为/^(.*)level(.*)$/这只能匹配一行,我们可以用换行符进行绕过 1payload:?aaa=%0apass_the_level_1%23 浏览...