【长城杯】Web题 hello_web 解题思路

TazmiDev2024-12-20 8:51

查看源代码发现路径提示

访问.../tips.php显示无用页面,怀疑.../被过滤,采用..././形式,看到phpinfo()页面

注意到disable_functions,禁用了很多函数

访问hackme.php,看到页面源码

发现eval函数,包含base64

解密获得php代码,echo eval函数

获得一句话木马连接语句

密码为cmd_66.99

蚁剑连接失败

修改密码为cmd[66.99,低版本php特性

可以连接成功

使用蚁剑插件:绕过 disable functions,连接shell

find寻找flag,cat获取flag

sh 复制代码 
find / -name flag*

find寻找flag,cat获取flag

相关推荐
ayt0075 分钟前
Netty AbstractNioChannel源码深度剖析:NIO Channel的抽象实现
java·数据库·网络协议·安全·nio
Freak嵌入式15 分钟前
MicroPython LVGL基础知识和概念:显示与多屏管理
开发语言·python·github·php·gui·lvgl·micropython
三七吃山漆1 小时前
BUUCTF-[BJDCTF2020]Mark loves cat
web安全·网络安全·buuctf
Freak嵌入式1 小时前
MicroPython LVGL基础知识和概念:时序与动态效果
开发语言·python·github·php·gui·lvgl·micropython
网络安全许木2 小时前
自学渗透测试第13天(DVWA配置与信息收集命令)
网络安全·渗透测试·信息收集·kali linux
盟接之桥2 小时前
盟接之桥®制造业EDI软件,打通全球供应链“最后一公里”,赋能中国制造连接世界
网络·安全·低代码·重构·汽车·制造
ZKNOW甄知科技2 小时前
数智同行:甄知科技2026年Q1季度回顾
运维·服务器·人工智能·科技·程序人生·安全·自动化
m0_738120722 小时前
网络安全编程——Python编写基于UDP的主机发现工具(解码IP header)
python·网络协议·tcp/ip·安全·web安全·udp
洒家肉山大魔王2 小时前
PKI/CA X.509证书的基础应用与解读
服务器·https·密码学·数字证书
计算机毕业设计指导2 小时前
基于机器学习和深度学习的恶意WebURL检测系统实战详解
人工智能·深度学习·机器学习·网络安全
热门推荐
01GitHub 镜像站点02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程04AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南05Oh My Codex 快速使用指南06CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南07MySQL表约束详解:8大核心约束实战指南08VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)09Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)10UV安装并设置国内源