i春秋web-123(bak备份泄露)
进站是一个登陆界面:
查看源码:
访问了一下user.php,然而页面是空的,试试有没有备份文件,果然是bak备份泄露,下载之后拿到了许多的用户名,但是密码中的日期并不知道,使用bp**有两种思路:
1)对一个用户名进行年份的**
2)对一个年份进行所有用户名的**
我选择的是第二个思路:
payload里面两个地方都是载入的bak备份文件中的用户名,然后开始**(这里用的是1995年):
然后就可以用这个账号登录了,登录之后页面是空白的,但是源码中有有用的内容:
这里有个文件上传的地方,F12把这个地方搞成可用的,我是这样搞的:
1)先在这里吧这几行代码的内容复制下来
2)添加代码内容到页面源码
在center这个节点把代码复制上去
然后就出现了文件上传的地方:
随便上传一个文件,这里上传的是个jpg文件,然后抓包:
文件名不合法。。。
改成php上传显示:只允许上传.jpg,.png,.gif,.bmp后缀的文件
然而这四种后缀都是返回文件名不合法。
尝试.jpg.php得到:
于是尝试去掉文件名中的php,使用pht或phtml替换即可,经过尝试,这两个后缀都是可以的,上传后得到:
访问view.php:
猜测是让我们以file传递参数,尝试file=flag,得到:filter “flag”
双写一下file=flflagag拿到flag: