[青少年 CTF] CheckMe01

最新推荐文章于 2023-06-07 14:35:30 发布
最新推荐文章于 2023-06-07 14:35:30 发布
阅读量164 收藏
点赞数
分类专栏: 青少年CTF_Web 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/piggcs/article/details/129938413
版权

题目说明:

考察:PHP代码审计

有一个输入框,随便输入点什么。

得到

 分析该源码,我们需要传入字符串”qsnctf” 的 base64 加密字符串

<?php
print("<h1>欢迎来到CheckMe-01,快来寻找你的Flag并提交吧。</h1>");
?>
<form action="index.php" method="POST">
  your key: <input type="text" name="key" />
  <input type="submit" value="Submit" />
</form>
<?php
if(!empty($_POST['key'])){          //判断POST的参数key是否存在
    $keys = $_POST['key'];          //赋值
    show_source("index.php");
    $keys = base64_decode(urldecode($keys));       //将keys的值先url解码 然后base64解码
    if(strlen($keys)==6){           //判断长度是否为6
        if($keys=="qsnctf"){        //判断值是否等于qsnctf
            print("<p>You win!</p>");
            include("flag.php");    
            print($flag);
        }
    }
    else{
        print("末心:大漏特漏!此乃九年义务教育漏网之鱼。");
    }
}
?>

“qsnctf” base64编码得到 “cXNuY3Rm”

回到输入框输入cXNuY3Rm,

 得到Flag。

qsnctf{0d2a76fe-e4cc-4682-ac7e-bb39f5d5c4ef} 

 

 

piggcs
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用kindeditor直接粘贴本地图片或者是qq截图
boylong12的专栏
06-11 42万+
最近在使用kindeditor粘贴图片,突然发现可以直接使用Ctrl+V向里面粘贴。这个时候控件会把图片转成data:image 比如: 它会转成: 就可以直接保存到数据库了!
青少年CTF-Web-CheckMe01
zxsctf的博客
10-09 1877
半颗星的简单题,CheckMe01启动题目,并访问。
[青少年CTF]Web-CheckMe01-04 writeup by q1jun
ShangYaoPaiGu的博客
11-29 1837
在是科学计数的语法,0e后面不管多大都是0。那说明还可以通过日志来解析PHP语句。字符进行base64编码才能使。这里通过0e截断可以做到,因为。但是还是可以读取到文件,比如。这题把php伪协议过滤了。然后再通过文件包含漏洞访问。只能为数字,然后他们各自的。值如果想等就输出flag。还是文件包含题目,相比于。语句的http请求来写入。来拦截请求包,修改里面的。php伪协议可以查看到。
青少年ctf CheckMe01~08
qq_44640313的博客
01-09 1064
qsnctf CheckMe01~08的wp
某次 ctf Mobile 0x01 解题过程
qq_42077227的博客
08-19 527
ctf mobile 0x01
2022年ctf强网青少年题目
09-16
2022年ctf强网青少年题目
青少年ctf擂台挑战赛 2024 #round 1
最新发布
04-16
青少年ctf擂台挑战赛 2024 #round 1
ctf base全家桶递归解密
09-11
ctf base全家桶递归解密,只要是常见base(base16、base32、base58、base85、base91、base92、base100)系加密,不管加多少层都能解出来
CTF题库超详细资源合集
06-14
ctf题库 CTF 题⽬类型⼀般分为 Web 渗透、RE 逆向、Misc 杂项、PWN ⼆进制漏洞利⽤、Crypto 密码破译。 在传统的CTF线上⽐赛中,Web类题⽬是主要的题型之⼀,相较于⼆进制、逆向等类型的题⽬,参赛者不需掌握系统...
CTF之GIF图片分离工具
02-23
misc方向直接GIF图片分离
青少年ctf web 超简单 include01
weixin_69830800的博客
06-07 362
我们直接使用data方案往里面传入恶意代码,并被当作文件被include包含并执行。file里面一旦有flag字出现就寄了。然后ctrl+f查找就完事儿。看看代码,是文件包含的题目。里面把参数是file。
BUU 【ACTF2020 新生赛】Include 1 解题大致思路
半文盲半疯癫重度手机爱好者,世界选社恐大赛第二名。
07-14 1070
1.首先打开靶场环境 看到链接tips 打开tips 2.
[青少年CTF]Web—Easy CheckMe1-8 by 周末
个人文章分享,博客地址:https://www.st1ck4r.top/
12-03 2283
web部分CheckMe1-8,仅供参考
qsnctf 骑士CMS01 wp
arcuied
11-11 700
qsnctf 骑士CMS01 wp
[ACTF2020 新生赛]Include 1解题思路
生死看淡,不服就干的博客
03-12 4707
文件包含漏洞 靶场地址 —> web 方向 启动靶机,进入题目后,如下 点击tips 获取帮助,查看有无变化 可发现是文件包含,已经明确给出,文件包含直接读取的是文件,而不是文件源码,所以要想办法读取源码方法。 那么就要涉及到 PHP 伪协议,这个是之前接触很少的东西,先了解一下PHP伪协议 PHP伪协议 参考:FreeBuf 详细介绍 了解了PHP伪协议后,那么此处应当使用 :php://filter 读取源代码并进行base64编码输出,不然会直接当做php代码执行就看不到源代码内容了。 构
青少年qsnctf [登录试试] 攻略
小苏
11-30 1047
青少年CTF训练平台-Web-Easy-登录试试
[ACTF2020 新生赛] Include1
旺仔Sec&blog
11-04 847
[ACTF2020 新生赛] Include1解析思路
[ACTF2020 新生赛]Include1
qq_44232335的博客
08-11 223
[ACTF2020 新生赛]Include1
[ACTF2020 新生赛]Include 1
weixin_45642610的博客
01-10 8687
[ACTF2020 新生赛]Include1 -刷题个人日记 小白一个,写给自己看。 打开后是这样: 点击tips后: ctrl+u查看网页代码+抓包:没有发现什么有用的信息。 查看题目和网址的file参数,提示这是文件包含的题 构造payload: file=php://filter/read=convert.base64-encode/resource=flag.php 读出源码,进行base64解码得出flag: flag{ef7e62e5-5ed4-4f53-8c7c-fb80aaabf7cc}
青少年ctf shellcode
03-15
青少年CTF(Capture The Flag)是一种网络安全竞赛,旨在培养年轻人的网络安全技能和解决问题的能力。Shellcode是一段用于利用计算机系统漏洞的机器码,通常用于执行特定的操作或获取系统权限。在青少年CTF中,学习...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值