题解

首先在lib/func.class.php中有个变量覆盖

其次。index.php包含了这个文件。继续审计。整个CMS没啥文件操作。就sql。
然后题目给了个SSRF的后门，但是靶机访问不了。猜测路径要通过其他方式获得。。。脑瘫。
以前也有题是sql注入拿到hint。然后去访问web。
随便找个注入点，得到路径,hint.txt是源码中给的

然后读/proc/net/tcp，发现有5000端口，老ssti了，exp一把嗦

简单说下python题。
就是wget的参数注入读文件->审计->pickleC指令配合backdoor->cat /proc/1/environ->flag
都是网上有的姿势。

下一篇： GKCTF2021 babycat→