您的位置:首页 > 科技 > 能源 > CTFSHOW 萌新 web17 解题思路和方法(利用文件包含漏洞)

CTFSHOW 萌新 web17 解题思路和方法(利用文件包含漏洞)

2024/12/23 11:35:42 来源:https://blog.csdn.net/weixin_58052886/article/details/141198359  浏览:    关键词:CTFSHOW 萌新 web17 解题思路和方法(利用文件包含漏洞)

点击题目,发现代码中使用了文件包含,那么我们可以尝试使用文件包含的方向解决该题,使用wapparryzer插件分析看到其服务器类型为nginx。

对此,我们可以通过构造网址 ?c=/var/log/nginx/access.log  查看其日志文件:

发现其日志文件中写入了user-agent了信息,那么我们在提交请求的时候可以在user--agent中写入木马

使用bp抓包软件抓取请求,然后修改user-agent的值,写入一句话木马,然后提交请求

使用菜刀连接服务器(粘贴网址后将https改为http,否则连接不上):

右键单击,进入目录,发现www下有两个文件,我们点击36d.php查看其内容

发现flag值

Web18、web19、web20、web21 解题思路和方法与web17一模一样

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com