进入靶场
发现没有什么可点击的地方,查看源代码
发现./Archive_room.php ,在url里访问
http://501f2c25-9b3a-46a0-ab35-9b45457a7893.node4.buuoj.cn:81/Archive_room.php
点击SELECT
直接查阅结束,我们回去再看看
返回上一个页面查看源代码,发现./action.php
发现action.php是end页面,推测是速度太快,需要bp抓包,点击SELECT,抓包
发送到repeater,发现secr3t.php
在url里访问secr3t.php,发现php代码
http://501f2c25-9b3a-46a0-ab35-9b45457a7893.node4.buuoj.cn:81/secr3t.php
看到了注释://flag放在了flag.php里,访问flag.php,没想到被骗了emm......
再去看那段php代码,文件上传漏洞,payload:
http://501f2c25-9b3a-46a0-ab35-9b45457a7893.node4.buuoj.cn:81/secr3t.php?file=php://filter/read=convert.base64-encode/resource=flag.php
得到一串base64码
解码即可得到flag