【长城杯】Web题 hello_web 解题思路

查看源代码发现路径提示

访问.../tips.php显示无用页面,怀疑.../被过滤,采用..././形式,看到phpinfo()页面

注意到disable_functions,禁用了很多函数

访问hackme.php,看到页面源码

发现eval函数,包含base64

解密获得php代码,echo eval函数

获得一句话木马连接语句

密码为cmd_66.99

蚁剑连接失败

修改密码为cmd[66.99,低版本php特性

可以连接成功

使用蚁剑插件:绕过 disable functions,连接shell

find寻找flag,cat获取flag

sh 复制代码
find / -name flag*

find寻找flag,cat获取flag

相关推荐
Lhappy嘻嘻6 小时前
Java IO|File 文件操作 + 字节流 / 字符流完整笔记 + 递归删除文件实战
java·笔记·php
QYR-分析8 小时前
机器人安全控制器行业高速扩容 本土替代迎来全新发展窗口期
人工智能·安全·机器人
IpdataCloud8 小时前
担心IP暴露隐私?用安全IP查询工具自查,三步配置网络出口
网络·tcp/ip·安全·ip
2601_963771379 小时前
How to Scale Your WordPress Store Traffic in 2026
前端·php·plugin
零零信安11 小时前
AI智能体,攻守失衡的催化剂 | 零零信安
人工智能·网络安全·数据泄露·暗网·零零信安
JerrySir12 小时前
恶意 npm 包只活了 17 分钟:技术面试里,为什么“升级依赖”还不算止血?
javascript·安全
白帽小阳12 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
右耳朵猫AI13 小时前
PHP周刊2026W28 | 安全更新、Laravel 13.18、Twig 3.28
开发语言·php·laravel
罗政13 小时前
PDF 批量合并工具:本地 AI 自动排序、识别正文日期与合同编号
数据库·pdf·php
xd18557855513 小时前
电影匹配引擎-基于鸿蒙的心情电影推荐应用开发实践
人工智能·安全·华为·harmonyos·鸿蒙