BMZCTF--听说最近thinkphp很火?

vFREE
2021-07-01 / 1 评论 / 159 阅读 / 正在检测是否收录...
温馨提示:
本文最后更新于2021年12月08日,已超过291天没有更新,若内容或图片失效,请留言反馈。

题目:听说最近thinkphp很火?

考点:考察现有漏洞的利用

题目地址: 传送门

工具下载

writeup

  • 打开题目的连接后发现

    对于现在网上的writeup都是采用TPScan去扫描网站的,但是不知道为什么,我两台电脑都打不开这个工具,于是我只能自力更生了,自己去写了一个类似交互的脚本去一步步获取flag,工具评论即可获取
  • 然后打开TP5023.py进行检测

    python3 tp5023.py http://www.bmzclub.cn:20535

如果出现下面👇这个提示,意味着存在该漏洞

此时会提示是否执行命令

输入y后,出现>>>则代表进入命令行模式,此时输入命令即可执行(由于正则过滤不完整,可能会出现html文档代码,但是不伤大雅)

  • 通过不断回溯目录,即可找到flag



0

评论 (1)

取消
  1. 头像
    李小花
    Windows 10 · Google Chrome

    画图

    回复