分类 CTF 下的文章

第一届百度杯总决赛WriteUp for Web

0x00 前言

作为一个ctf菜鸡,第一次参加AWD模式的ctf,毫无经验的我只能被各位dalao吊打。很气

0x01 解题思路

由于是攻防赛制,比赛开始第一时间就上传自己写的phpwaf,主要作用还是记录日志用。
接着把源码下载下来,php文件基本都在/ez_web/admin,接着开始审计。

/ez_web/admin/calc.php
25行存在eval()函数,所以先不管他存不存在漏洞,第一时间注释掉,避免其他被其他选手拿到flag。(其实我也不知道该怎么利用,直到有dalao拿payload打我)

Continue Reading...