Background

咕咕咕好久了,因为vegetable,0输出,赛后赶紧来学习一波

Check -in

知识点:.htaccess的功能
文件上传 php标签的其他写法
12.png
看一下过滤,主要的点在于ph和>
了解一下htaccess 是apache下的一种配置文件
概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
可以理解把后缀替换解析
那么我们正常的httaccess解析语句
AddType application/x-httpd-php .jpg
看了Pdsdt师傅的博客的方法
但是ban了 php 可以用然后绕过
AddType application/x-httpd-php .jpg
test1.png
然后就是考虑写shell的时候因为过滤了ph
php 5.4以后可以用这种格式
<?= 来替代<?php ?>
绕过>和php 上传shell
13.png
然后cat /flag 即可
这个是非预期解 后来看了下预期解

Options ExecCGI
AddHandler cgi-script .sh

接着上传 .sh

!
/bin/bash

echo
Content-type:
text/html
echo
""

 cat
/flag

令我更没想到的还有第三个姿势
上传为.httaccess
SetHandler
server-status
白嫖别人的信息.jpg

扩展阅读:https://www.freebuf.com/vuls/218495.html

Hard_Pentest_1

环境在我复现的时候没得了,只是翻已有的wp顺一下思路
1.png
后缀不能为php 想到大小写绕过 绕过;用短标签
他还ban掉了0-9 和字母
p牛有篇文章提到了无数字字母shell 但其实实际场景用不到

参考文章:https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html

shell链接之后发现不在里面 可能是在域内的 内网渗透收集信息
提示flag不在服务器 搜索hint发现压缩包
这里面用到SYSVOL还原组策略保存密码

参考文章:https://blog.csdn.net/Fly_hps/article/details/80641585 https://3gstudent.github.io/3gstudent.github.io/

12.png

因为有现成脚本 解密拿到压缩包密码
即可得到flag