掘安杯-Misc-机密信息
1.下载压缩包,解压,发现是数据包,导入Wireshark
依次打开,左上角的文件→导出对象→Http
2.题目的表述(黑客通过webshell往Web服务器写入了一串机密信息,你能找出机密信息吗?),不难想到漏洞是shell,于是我们可以找shell.php
在快到底部时有很多shell.php,我们需要一一分析类型为application的,其中都是一些,base64编码的,我们需要解码
[email protected](base64_decode($_POST[action]))。这个是最多见到的,是典型的一句话木马,action为变量,其中有action,z1,z2,等
最后发现一个里有z2(他的%3是=的意思),且其的值的base64解码为flag