打开靶机地址,得到下图,
根据上图的php代码可以知道,该网址过滤了php的大小写,直接进行当前网页index.php的base64过滤也不可用,php://伪协议不可用,一句话木马不可用,但是我们可以用data://伪协议进行尝试,因为过滤大小写,所以咱们用base64的方法传入一句话木马。
根据网页返回可知,allow_url_include并未开启,所以data伪协议不可使用。那就只能使用特殊的方法了,先尝试访问自带的日志文件,看看是否被更改掉位置,写入?file=/var/log/nginx/access.log
发现可以访问,那就是这儿了,咱们可以在UA头上写入一句话木马,因为日志文件会将请求头自动写入日志文件access.log中去,并不会对UA头进行二次检验,写入日志文件中后,可以利用蚁剑连接获得整个的访问权限。
伪造请求后,再次访问日志文件
我也看不清包含没包含,之前看过别人的说是可以echo "666666"检验一下,我这里不检验了,直接上中国蚁剑进行对一句话木马的连接
显示连接成功,证明木马已经进入了后台的日志文件,并获取到了整个后台的文件管理权限,并打开文件管理
直接从/目录下找到flag.txt文件
打开即得到flag文件
得到flag:ctfshow{b5f6bcof-6129-4c4f-a005-fea0e793fbb0}