张士玉小黑屋

一、简单的信息收集尝试路径报错，获取目标版本和配置信息。https://example.com/admin/indeeex/login.html版本为5.0.5，开启debug。直接执行payload，宝塔拦截/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]

前言靶机ip（192.168.110.128）攻击机ip（192.168.110.127）网络NAT模式这段时间一直在忙别的事，有两个礼拜没有学习了，哈哈哈信息收集打开网站每个页面都简单看了看，发现一个很明显的LFI，先记录下来肯定能用上继续看就没有什么东西了，网页功能也比较简单，现在再来扫一下目录很明显是数据库，手试了一波弱口令给我进去

进入场景映入眼帘 需要注册账号注册好之后,登录跳转页面 突破点应该就在这里了我们先上传一个php文件显示不正确的文件扩展名,被拦了用burp抓包改信息成功上传但是没有上传路径只能上传不能利用思考(题目给的是upload,给的引导思路就是上传文件拿flag)我试着上传jpg,png格式的图片文件 有文件名回显,这说明文件已经被传到了数据库中,游览器又从数据库中读取了上传的文件,那么这个过程久有可能触发sql注入,那么将文件名中加入sql语句,尝试burp抓包修改 可以看出select被过滤了,之后的尝试from也被过滤了,那么尝试双写绕过双写绕过成功由此可以得出结论