web新手区题目webshell

题目 打开后显示如下

分析一下：

有一个名为shell的变量，其取值为post方式；eval()函数,简单来讲其作用是将（）内的字符串作为脚本语言来执行，详细讲解请看这位大佬博文：https://blog.csdn.net/NinoYeves/article/details/73380553；@作用，将php语句表达式可能生成的错误信息忽略掉；连起来看，这就是个php一句话木马。

解决方法：

方法一： 菜刀如图，将url填入，密码就是shell,类型是php，点击添加。如图，最香的flag就在flag.txt中。

方法二： firefox的Max HacKBar插件

如图，进行POST方式传值，将shell的值改为system(‘cat flag.txt’);然后执行，即可得到flag。 cat命令，最简单的用法（即本题用法）：只查看文件内容。除此之外，还有查找文件中的内容，创建文件，清除文件内容等用途。详细用法：https://blog.csdn.net/zhangchao19890805，请看这位大佬。