web：[ACTF2020 新生赛]Include

最新推荐文章于 2024-11-03 07:55:42 发布

sleepywin

最新推荐文章于 2024-11-03 07:55:42 发布

阅读量376

点赞数 1

分类专栏： BUUCTF-WEB 文章标签： web安全网络安全

本文链接：https://blog.csdn.net/gsumall04/article/details/133150731

版权

BUUCTF-WEB 专栏收录该内容

35 篇文章 0 订阅

订阅专栏

前提知识

文件包含漏洞

php伪协议

题目

点开题目，页面只显示一个tips，点进去看看

点进去之后

没有别的提示，先看源代码，恩，什么都没有

再看一下点进tips显示的页面，发现url中

flag可能就藏在这个页面中，但是被隐藏了看不见

题目名为include，可以联想到文件包含漏洞

构造payload

http://83e3f0ce-775a-4dc5-b714-d5d5bfc15cd8.node4.buuoj.cn:81/?file=php://filter/read=convert.base64-encode/resource=flag.php

显示为

base64解码得，即得到flag

总结

提示信息也要包括题目名

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

sleepywin

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

[ACTF2020 新生赛]Include WriteUp(超级详细)

lunan的博客

04-22

2073

[ACTF2020 新生赛]Include 打开靶机发现一个超链接，点击之后出现一段话 “Can you find out the flag?” 查看源码注入，无果仔细看url，发现有flag.php 根据题目提示，该题应该是文件包含漏洞，因此可以判断出此题是PHP伪协议题目，构造payload如下 ?file=php://filter/read=convert.base64-encode/resource=flag.php 此时可以得到base64的编吗后的

ACTF 2022圆满落幕，0ops战队二连冠！！

Cyberpeace的博客

07-05

3240

ACTF 2022圆满落幕，恭喜0ops战队实现二连冠！

参与评论您还未登录，请先登录后发表或查看评论

ACTF2020 新生赛 -- WP

会下雪的晴天

05-18

3189

做题思路记录，同时感谢赵师傅和Y1NG的环境与源码文章目录[ACTF2020 新生赛]Include[ACTF2020 新生赛]Exec[ACTF2020 新生赛]BackupFile[ACTF2020 新生赛]Upload [ACTF2020 新生赛]Include 主页显示是一个链接，点进去看看，URL出现file=，结合题目判断为文件包含用伪协议读flag.php，一般语句为php://filter/read=convert.base64-encode/resource=xxx php:/.

CTF比赛工具自收集

热门推荐

我的学习笔记

02-28

1万+

点滴积累，以免以后需要了又找不到了。综合｛1、CTF工具免费集：https://www.ctftools.com/down/2、聊天机器人助手：https://github.com/CylanceSPEAR/CyBot｝密码学｛1、培根密码在线解密：https://netair.xyz/tools/%E5%9F%B9%E6%A0%B9%E5%AF%86%...

ACTF新生赛2020 frequency

cuihua的博客

04-07

5073

[ACTF新生赛2020]frequency 1.题目概述 2.解题过程根据题目名称frequency与文件内容猜测应该是字频方向如果打开文档是空白的，就搜索显示隐藏内容 a2draGxmY290bnRpdWZwZ2hodGN3dWprY2ttb3ducGNrbXdseWd0bHBtZmtneWFhaWh1Y2RsYXRveXVjb2lnZ3JwbGt2a2Ftcmt0cXp4ZW1taXdrbGh1YWVrY2VvbHBvY2ZtdGFobWdmbWF2YWpuYmNwbWx0anRwdWZq

BUUCTF Web [ACTF2020 新生赛]Include

wangyuxiang946的博客

10-27

1万+

「作者主页」：士别三日wyx 此文章已录入专栏《网络攻防》，持续更新热门靶场的通关教程「未知攻，焉知收」，在一个个孤独的夜晚，你完成了几百个攻防实验，回过头来才发现，已经击败了百分之九十九的同期选手。 [ACTF2020 新生赛]Include一、题目简介二、思路分析三、解题步骤1）包含 flag.php2）PHP伪协议编码文件3）解码文件内容四、总结一、题目简介进入题目链接后只有一个「链接」点击链接后来到 falg.php 页面，里面是一句作者深情的「问候」。二、.

[ACTF2020 新生赛]Include1

m0_62959190的博客

03-13

429

进入靶场F12跳转到file=flag.phpurl地址存在参数构造pyload：?

[ACTF2020 新生赛]Include

weixin_53150482的博客

06-12

724

ACTF2020 新生赛

Buuctf-Web-[ACTF2020 新生赛]Include

御七彩虹猫

05-13

531

Buuctf-Web-[ACTF2020 新生赛]Include

buuctf [ACTF2020 新生赛]Include wp

2302_80009791的博客

02-12

462

本题考查文件包含漏洞。文件包含漏洞是一种注入型漏洞，其本质就是输入一段用户能够控制的脚本或者代码，并让服务端执行。

[ACTF2020 新生赛]Include （文件包含漏洞）_include ctf

m0_61549740的博客

04-06

835

构造payload:?就可以得到base64编码后的flag.php：利用进行解码:得到flag.php的内容：即可得到flag。

BUUCTF之[ACTF2020 新生赛]Include

weixin_44632787的博客

06-13

474

BUUCTF之[ACTF2020 新生赛]Include 启动项目，进入到我们的挑战页面这个有个tips链接，点开它发现并没有什么可用的信息，然后试试右键打开源代码和访问robots.txt协议都没有看到什么特别的信息。然后就开始想是不是该用dirsearch扫描一下这个网址看看可不可以扫描出什么来。但是又返回到题目去，看到了Include这个字眼。就想起了，这个题目可能是和文件包含相关。。。打开火狐的Hackbar，导入链接emmmmmmmmmm 好的，那么现在开始输入文件包含里经常用到的方

BUU 【ACTF2020 新生赛】Include 1 解题大致思路

半文盲半疯癫重度手机爱好者，世界选社恐大赛第二名。

07-14

1214

1.首先打开靶场环境看到链接tips 打开tips 2.

BUUCTF[ACTF2020 新生赛]Include

m0_47745762的博客

07-20

141

一、题目内容文件漏洞二、解题步骤（1）进入靶场（2）点击tips （3）发现了/?flie=flag.php，那我们就运用php伪协议的内容来读取flag.php的内容。那么此处应当使用php://filter来读取源代码，所以payload:file=php://filter/read=convert.base64-encode/resource=flag.php（base64编码是为了避免被看做成PHP代码被执行）（4）对其进行base64解码（5）得到了...

2024年自学手册 网络安全（黑客技术）

2401_85027424的博客

10-31

960

网络安全可以基于攻击和防御视角来分类，我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的，技术上面其实有很大的重叠性，抛开甲乙方、岗位名称、岗位职责等因素来看，作为学技术的，也根据以往我们给学员推荐就业和入职情况来看，只要好好掌握以下几种技术（网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言）中的2到3个，都可以较好的胜任工作需求。

2024年网络安全进阶手册：黑客技术自学路线

2401_85026965的博客

10-29

1237

企业应该采用和支持网络安全的几个实践

QQ3007250950的博客

10-31

986

总之，虽然这些实践乍一看很简单，但网络安全工程师必须记住它们的重要性。有时候，好的解决方案是最简单的。有了复杂的政策，就会产生混乱，这正是恶意行为者所希望看到的。当这些实践融入到组织的文化中时，效果会更好。

【知识科普】常见网络安全问题以及应对方式