[极客大挑战 2019]Secret File

已于 2022-09-20 17:09:55 修改
阅读量411 收藏
点赞数 1
分类专栏: buuctf 文章标签: web安全 安全 php CTF
于 2022-01-30 23:08:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pakho_C/article/details/122756694
版权

[极客大挑战 2019]Secret File

打开靶场
在这里插入图片描述
直接审计源代码看有无发现
在这里插入图片描述
发现有一处php页面,进入该页面
在这里插入图片描述
发现有一处按钮,先审计源代码
在这里插入图片描述
又发现一处php页面,应该是点击secret就会跳转到该页面
点击secret
在这里插入图片描述
进入的是end.php页面,应该是action.php页面进行了快速的跳转,尝试用burp进行抓包观察
在这里插入图片描述
得到的响应里有提示,访问 secr3t.php
在这里插入图片描述
访问flag.php
在这里插入图片描述
查看源代码
在这里插入图片描述
并没有将flag写在这里

可以分析secr3t.php的代码
strstr函数

stristr函数与strstr函数用法一样,只是不区分大小写
也就是说对参数进行了一些过滤,但是并没有过滤php://filter
方法参考我做的另一道题:[ACTF2020 新生赛]Include

构造payload:secr3t.php?file=php://filter/read=convert.base64-encode/resource=flag.php
在这里插入图片描述
得到一串密文,解密得到源码。flag就在里面
在这里插入图片描述

pakho_C
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF系列 // [极客挑战 2019] Secret File
qq_45805420的博客
09-25 491
前言 本题知识点:PHP 文件包含漏洞 & 利用网页背景隐藏信息 WP 进入题目页面,乍看没有什么明显的思路,查看网页源代码,发现源码中出现了部分在页面中被隐藏了的信息,这才意识到了出题者的心思 这个小技巧原理并不复杂,主要是在前端中利用网页的背景颜色来覆盖相同颜色的内容,使得相关信息肉眼不可见,初次相遇确实不易 Get 到思路,可以通过全选页面内容的方式,使所有的信息展现出来 点击隐藏信息,题目跳转到了一个新的页面 尝试点击SECRET按钮,网页再次跳转 根据该页面的信息判断,SECRET
secret_file
12-24
攻防世界pwn题,该题虽然最终解题脚本比较简单,但分析过程还是比较中肯的,适合新人一同学习。解题wp链接:https://blog.csdn.net/A951860555/article/details/111601870
BUUCTF-web-[极客挑战 2019]Secret File
weixin_44866139的博客
05-16 3823
查看源码之后发现achieve_room.php 点击secret,发现end.php 提示回去再仔细看看,查看achieve.php的源代码 发现action.php,访问,然而依旧回到了end.php 说明这个跳转的时间特别快,我们需要抓包,有一个抓包神器BrupSuite,使用它发现action有一个隐藏的回应 <html> <title>secret</title> <meta charset="UTF-8"> <?php
BUUCTF[极客挑战 2019]Secret File
devilare的博客
03-22 1397
BUUCTF[极客挑战 2019]Secret File 挺有意思的一道题,打开链接。蒋璐源的秘密?没兴趣,本人不喜欢探索别人的秘密。好吧,hacker喜欢。F12查看一下源码。出现下一个页面,点击试试 嗯?!闪电侠也看不清,估计是玩我呢,退回刚刚的页面,F12看看 果然,同样的错误不允许犯两次,嗯。。。。怎么办呢?抓个包看看。 访问该页面 果然就是这里,代码审计一下,包含一个file的文件,用get方式传输,如果存在…/,tp,input,data等就会输出Oh no!并且退出,说明要包含的文件不能
CTF-Web-[极客挑战 2019]Secret File
归子莫的博客
05-02 1353
CTF-Web-[极客挑战 2019]Secret File 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Web类,[极客挑战 2019]Secret File 打开题目的实例 思路 看到这种...
Buuctf-[极客挑战 2019]Secret File
m0_63563528的博客
04-19 361
我不知道,但是我可以看源代码,这里是第一个我所注意到的问题,因为第一遍看源码的时候马虎了,没有发现隐藏的关键信息,所以有时候审阅代码一定要细致。第二个问题就在这,这么多目录,我应该在哪里使用伪协议查阅呢?如果对整一个的环境有清晰的了解,就很简单,这里应该为。flag应该如他所说,就在这,但是不能直接查阅,怎么办?
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
ISCC2019个人挑战赛题目练习
05-05
【ISCC2019个人挑战赛题目练习】是一次针对网络安全技术的竞赛,旨在提升参赛者在信息安全领域的技能和实战经验。此类挑战通常涵盖多种技术领域,包括但不限于密码学、漏洞分析、网络嗅探、逆向工程、Web安全以及...
极客学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新版 7大部分
天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
最新发布
01-28
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
Secret:极客学院-秘密APP原始码
03-23
Secret: 极客学院-秘密APP原始码》 在这个项目中,“Secret”是一个极客学院分享的开源应用程序,它的原始码提供了深入了解移动应用开发,尤其是Android或iOS平台开发的机会。"系统开源"标签表明了这个项目的开放...
GFG-:极客极客30天挑战
02-17
极客30天挑战2021年1月 30天练​​习问题的Python解决方案: 与同学一起翻阅怪胎。(Array); 第N个自然数; 不能表示为Sum的最小正整数; 从抽屉里拿出“ k”双袜子的最小采摘次数; 螺旋矩阵奇克兰的硬币; 有效...
极客web前端
07-22
教程名称:极客web前端教程目录:【】1、走进前端工程师的世界【】2、HTML5【】3、CSS3【】4、Javascript【】5、常?的库之 jQuery【】6、常?...资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
python极客项目编程pdf
03-31
python极客项目编程书籍,很好的一本深入学习python的书籍
[极客挑战 2019]Secret File(BUUCTF)
HackerYY的博客
12-30 1098
BUUCTF找秘密水题 内附解题过程
BUU WEB [极客挑战 2019]Secret File
star_feather的博客
01-17 208
打开网页,一片黑和几行字,正常流程,直接查看源代码,发现除了现实的内容外还有一句话,这里有两种方法,直接在网页上访问该文件或者找到这句话点击,可以从左上角到右下角选中就可以发现这句话的位置了, 访问后有显示一个页面: 点击又出现一个界面: 到这里,我们可以思考是不是页面中间有flag,但闪的太快了,让我们来抓包一个一个包的放一下试试,结果发现两个页面间什么也没有,那就试一下把包在重发器里发一下看看有什么收获: 我们得到了一个新的文件,在网页上访问可以得到一段源码: 第一眼我们应该就看到了flag!
[BUUOOJ][极客挑战 2019]Secret File
Y4tacker的博客
07-29 7308
首先打开页面时这个样子 源码中发现关键php文件 继续看 继续 发现文件包含漏洞 传入的file经过了一些过滤,但是没有过滤filter,我们可以用php://fileter来获取文件。构造url?file=php://filter/convert.base64-encode/resource=flag.php ...
极客挑战2019 Secret File
BlueDoorZz的博客
07-11 345
0x00 题目类型:文件包含,php伪协议。 0x01 查看源代码,发现Archive_room.php,点进去看看。 点击SECRET按钮,发现有个页面一闪而过,而后重定向到了end.php,退回去用burp抓包。 访问secr3t.php,发现源码。 <html> <title>secret</title> <meta charset="UTF-8"> <?php highlight_file(__FIL
极客挑战2019secret file
03-16
极客挑战2019Secret File是一个神秘的文件,里面可能包含了一些重要的信息或者任务。参赛者需要通过各种技能和智慧来解密这个文件,完成挑战。这是一个非常有趣和刺激的比赛,可以锻炼参赛者的思维能力和团队...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值