进站是一个登陆界面: 查看源码: 访问了一下user.php,然而页面是空的,试试有没有备份文件,果然是bak备份泄露,下载之后拿到了许多的用户名,但是密码中的日期并不知道,使用bp爆破有两种思路: 1)对一个用户名进行年份的爆破 2)对一个年份进行所有用户名的爆破 我选择的是第二个思路: payload里面两个地方都是载入的bak备份文件中的用户名,然后开始爆破(这里用的是1995年): 然后就可以用这个账号登录了,登录之后页面是空白的,但是源码中有有用的内容: 这里有个文件上传的地方,F12把这个地方搞成可用的,我是这样搞的: 1)先在这里吧这几行代码的内容复制下来 2)添加代码内容到页面源码 在center这个节点把代码复制上去 然后就出现了文件上传的地方: 随便上传一个文件,这里上传的是个jpg文件,然后抓包: 文件名不合法。。。 改成php上传显示:只允许上传.jpg,.png,.gif,.bmp后缀的文件 然而这四种后缀都是返回文件名不合法。
尝试.jpg.php得到: 于是尝试去掉文件名中的php,使用pht或phtml替换即可,经过尝试,这两个后缀都是可以的,上传后得到: 访问view.php: 猜测是让我们以file传递参数,尝试file=flag,得到:filter “flag” 双写一下file=flflagag拿到flag: