theenderofroot的博客

_wakeup方法使用waf方法对$args的内容进行了过滤，过滤掉了| &;__destruct方法检测ping是否在$method中，并调用了名为$method的方法，以数组$args中的值作为参数。综合来看就是通过$method和__construct来调用构造的ping方法，接着通过$args作为输入口进行命令的输入。此时这个最终的payload的中，我们采用单双引号绕过正则过滤，${IFS}绕过空格过滤，printf绕过/过滤。此处使用了${IFS}绕过了空格过滤，返回结果如下。

1. 使用Wireshark查看并分析虚拟机windows 7桌面下的attack.pcapng数据包文件，通过分析数据包attack.pcapng找出黑客的IP地址，并将黑客的IP地址作为FLAG。回过头来看第2题，因为黑客的端口探测技术无非是通过爆破端口号实现的，那么我们不需要看黑客的请求包，只看服务器的响应包就行了，把源目ip调换位置。2. 继续查看数据包文件attack.pacapng，分析出黑客扫描了哪些端口，并将全部的端口作为FLAG从低到高提交。

试一下base64解码出的字符串：flag{fg6sbehpra4co_tnd}，可惜是错的，再去找。4、如果想摸个鱼可以直接全局搜索$pass，直接出答案，或者直接用杀毒软件、D盾也行。大概扫了一眼子目录发现upgrade文件夹比较可疑，打开其admin.php。对其中一些部分进行base64解码，没有发现可疑内容，云沙箱也没有报毒。3、最后只能慢慢找了，在member目录下找到一个多功能大马。那还按那道题的思路走，下载、解压、放入PhpStorm。2、先看这个hack文件夹，简直明目张胆啊。

明显的一个文件包含漏洞代码，可以GET传参自定义文件名并且自动拼接php后缀，但是没有flag。2、下载下来是一个网站源码，看来是一道代码审计题，直接把文件夹放入PhpStorm中。5、那么就只能先看include文件夹了，里面还有个include.php，重点审查。4、 uploud文件夹里有个压缩包，打开看发现是一个很正常的word文档。发现$pass变量，内容好像是MD5加密字符串，包上flag试一试。3、先看web.php，这个文件的名字有点可疑。1、快速过一下题目，下载压缩包。

直接看状态码为200的包，追踪TCP流，发现末尾的等号，初步确定是base64编码，确定目标。2、在官网下载zip文件，解压后使用wireshark打开，在显示过滤器中搜索http。3、由于这段base64编码的长度过长，试了几个解码器都解不出来，怀疑是要转图片。用猫捉鱼铃里的工具箱直接梭哈。