由于靶场都是容器下发，做完之后大多数容器都关闭了，wp简单记录下吧.

一、

进去一看什么都没有

查看源代码找到

访问 www.site.com/u-Are-admin/

后台是一个文件上传 上传文件试了下截断什么的 后面发现自己想复杂了 直接大小写绕过就可以了

文件路径可以通过file manager中的下载文件download.php 通过download.php下载自身源码  得到download.php如下：

然后得到 文件路径www.site.com\u-Are-Admin\u-upload-file

然后getshell 调出cmd 找到flag

 

 

二、

 

后台地址 www.site.com/admin

扫描发现git文件泄露

找到sql文件 得到admin密码

然后得到后台

上传多次上传之后发现.php会被强制加后缀.png,切截断包含等方法无效

由于之前通过git文件泄露得到整站源码 直接看到这里: picture.php

试了下构造shell_exec没成功(太菜QAQ)，然后找到了一个 ImageMagick 命令执行漏洞（CVE-2016–3714）

github翻到了一个poc：https://github.com/Medicean/VulApps/tree/master/i/imagemagick/1

原理：

然后从poc里找到关键内容：

然后创建一张图片：

然后上传图片即可，本来想直接反弹shell的，结果被防火墙ban了。

因为命令无回显 所以定向到txt文件(这里有点小问题：环境是nginx搭建，web根目录不一定是/var/www/html)

 

 

三、

扫描找到一个upload.php 还有一个phpmyadmin1

后来有的师傅发现upload.php是一个大马，通过文件包含getshell

这边还可以通过今年6月phpmyadmin爆出的文件包含日志/session getshell

参考链接：https://blog.csdn.net/Ambulong/article/details/80757310

题目要求拿到ichunqiu用户密码，试了下msf shell还是连不上 mimikatz.exe传上去执行不了。于是上传QuarksPwDump来dump hash

然后扔到网上解一下

剩下的flag直接通过webshell都可以找到了。

 

 

四、

醒来时候已经下午了，师傅们都把ctf打完了。这道题战队师傅们说直接sqlmap -u秒 然后写shell搞定。

五、

这道题之前容器一直无法访问，后面说直接访问login.php

常规扫描目录爆破，然后读config.php拿到db密码，这里读取权限很大/etc/passwd都能读，所以就直接读一切，拿到flag。

www.site.com/down.php?urls=data/../config.php