0
点赞
收藏
分享

微信扫一扫

BUUCTF-Web-签到-[极客大挑战 2019]Knife 1

BUUCTF-Web-Sql注入-


解题过程

这道题目属于签到题,解题之前先来了解一下php一句话木马,最基础的一句话木马由eval()内置变量$_POST/$_GET组成,eval()函数用于将字符串转换为php代码执行,而内置变量 P O S T 和 _POST和 POST_GET存放用户请求参数,恶意用户通过将一句话木马文件上传到网页目录中,然后访问此文件构造恶意的php代码实现目标机器的增删改查,可以做一个小实验

  • mm.php
<?php
eval($_GET['cmd']);
?>

放在本地web目录下访问mm.php页面,因为是GET传参所以直接通过url将php代码传入到网页变量cmd中,如下

再回到原来的题目,根据页面回显猜测可能存在一句话木马,构造恶意代码通过POST方法传入到网页变量Syc

举报

相关推荐

0 条评论