第七题——[极客大挑战 2019]Secret File

最新推荐文章于 2022-08-19 09:42:13 发布
最新推荐文章于 2022-08-19 09:42:13 发布
阅读量120 收藏
点赞数
分类专栏: CTF-WEB 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37589805/article/details/115372523
版权
题目地址:https://buuoj.cn/challenges

解题思路

第一步:进入题目,什么都没有,按f12查看,发现提示

在这里插入图片描述

第二步:访问archive_room.php,发现一个超链接,按f12查看,发现是通往action.php的超链接

在这里插入图片描述
在这里插入图片描述

第三步:点击secret后,发现并不是跳转到了action.php,而是end.php页面

在这里插入图片描述

第四步:使用burpsuit在第三步抓包,发现action.php页面内容

在这里插入图片描述

第五步:访问secr3t.php页面,发现提示:flag.php

在这里插入图片描述

第六步:使用第六题的方法访问flag.php

在URL一栏输入?file=php://filter/read=convert.base64-encode/resource=flag.php出现base64密文,解码后得到flag:flag{8c434bcf-3e11-4591-bec4-08aab70ba91a}
在这里插入图片描述

想学习安全的小白
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
secret_file
12-24
攻防世界pwn,该虽然最终解脚本比较简单,但分析过程还是比较中肯的,适合新人一同学习。解wp链接:https://blog.csdn.net/A951860555/article/details/111601870
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
BUUCTF_Web——[极客挑战 2019]Secret File、[RoarCTF 2019]Easy Calc、[GXYCTF2019]Ping Ping Ping
Ho1aAs‘s Blog
10-04 1009
文章目录一、[极客挑战 2019]Secret File二、[RoarCTF 2019]Easy Calc三、[GXYCTF2019]Ping Ping Ping完 一、[极客挑战 2019]Secret File 打开环境,审查网页源码,发现隐藏的链接 点击超链接,提示信息可能被忽略了 使用Burp抓包,审查源码 访问secr3t.php 代码审计,这是文件包含,将file赋值为flag.php,访问 考虑使用PHP伪协议过滤器filter再次访问 得到base64加密信息,解码即可获得
[极客挑战 2019]Secret File1
明裕学长的博客
06-23 215
1、打开目我们查看源码 发现 一个跳转 进入后发现了一个页面点击secret 发现我们被耍了我们回去仔细看看打开抓包软件进行抓包我们发现了提示我们进入发现提示 看到flag.php应该联想到php伪协议,在后面加上 ?file=php://filter/read=convert.base64-encode/resource=flag.php即可 发现是经过base64加密的 解密后得出flag...
[极客挑战 2019]Secret File
weixin_55026246的博客
08-19 266
[极客挑战 2019]Secret File
BUUCTF——web([极客挑战 2019]Secret File、[ACTF2020 新生赛]Exec、[极客挑战 2019]LoveSQL)
LizePing_的博客
07-16 949
BUUCTF-web[极客挑战 2019]Secret File思路[ACTF2020 新生赛]Exec做思路[极客挑战 2019]LoveSQL做思路 [极客挑战 2019]Secret File思路 所以说,江路远 是谁啊?? 根据元素里面提示,我们去这个页面看一看 有点恐怖啊兄弟们,来到了这个页面。我们继续深究下 点secret,接着看,。 然后他告诉查阅结束,关键提示点来了啊。他说没看清???那肯定是我们忽略了什么。 再来一遍,。这回我们抓包。看看每个包里的内容。在一个重
2020第十一届极客挑战——Geek Challenge(部分解)
热门推荐
weixin_45794666的博客
12-19 1万+
Crypto 二战情报员刘壮 考点:摩斯密码 通过 1.简介中直接看出是摩斯密码 2.通过在线网站直接解密得到flag 铠甲与萨满 考点:凯撒密码 1.通过目和提示知道是凯撒密码 2.通过CrakTools直接解密找到SYC即可 成都养猪二厂 考点:猪圈密码,栅栏密码 1.[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w1bVRQgi-1608350560768)(http://image.liangyueliangyue.top/writeup-image/image
第十届极客挑战——部分web和RE的WP
A_dmin的博客
11-11 2668
第十届极客挑战——部分web和RE的WP web - 打比赛前先撸一只猫! web - 你看见过我的菜刀么 web - BurpSuiiiiiit!!! web - 性感潇文清,在线算卦 web - Easysql web - RCE me web - Lovelysql web - Babysql web - 神秘的三叶草 web - Jiang‘s Secret web - Hardsql web - 反序列化1.0 web - 又来一只猫 web - 你有
2021极客挑战web部分wp
bmth666的博客
11-26 5649
Dark 看到url:http://c6h35nlkeoew5vzcpsacsidbip2ezotsnj6sywn7znkdtrbsqkexa7yd.onion/ 发现后缀为.onion,为洋葱,下载后使用洋葱游览器访问 Welcome2021 查看源码发现 那么抓包使用WELCOME请求方式访问 访问f1111aaaggg9.php 得到flag babysql 简单的sql注入,直接使用sqlmap即可,也可以联合注入 1' union select 1,2,3,4# 发现注入点为1,2 直
2021 极客挑战 web
qq_53263789的博客
02-09 790
前言 拖了老长时间没写wp了,这写的真爽 Dark 给了一个url: http://c6h35nlkeoew5vzcpsacsidbip2ezotsnj6sywn7znkdtrbsqkexa7yd.onion/ 搜了一下后缀 onion 下一个洋葱浏览器 访问地址即可 Welcome2021 查看源码: <!-- 请使用WELCOME请求方法来请求此网页 --> 一直不理解什么是welcome请求方法 其实就是换个请求方法 Babysql Sqlmap跑一下 Babypop <?p
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
2019年三诺集团四周年庆典极客摇滚跑活动方案
第三届 Apache Flink 极客挑战赛暨AAIG CUP——电商推荐“抱大腿”攻击识别亚军代码方案.zip
最新发布
08-21
全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。...
第1-63总结:URL提交参数获取flag篇
分享简单的安全技术
05-10 3692
第一种:使用目录穿越方法,提交参数时输入:xxxx?/…/…/…/…/flag,利用?/将xxx文件失效,解析到flag所在文档,eg:第一 第二种:使用filter协议读取文件,语句:php://filter/read=convert.base64-encode/resource=flag.php 第三种:执行ping命令时,使用|或;执行除ping命令外我们想要执行的命令 空格替换:采用$IPS$1代替空格 关键字替换,cat /flag=a=g;cat$IFS$1fla$a 第四种:利用空格绕过WA
第五十八——[极客挑战 2019]FinalSQL
分享简单的安全技术
05-08 741
地址:https://buuoj.cn/challenges 解思路 第一步:进入目,看到sql测试框,以及1,2,3,4,5超链接 第二步:测试漏洞点 点击1超链接后出现NO! Not this! Click others~~~字样,在URL地址栏添加^2后发现注入点 第三步:获取flag 由于^一般适用于盲注猜测ASCII码值,所以这里使用盲注获取flag 手动测试回显字样:输入http://d9cc6ff9-ac2f-4193-985d-dce132ad08bd.node3.buuoj.
第六十一——[MRCTF2020]Ezpop
分享简单的安全技术
05-08 679
地址:https://buuoj.cn/challenges 解思路 第一步:进入目,显示出源码 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack
第五十四——[WUSTCTF2020]朴实无华
分享简单的安全技术
04-29 662
地址:https://buuoj.cn/challenges 解思路 第一步:进入目,访问/robots.txt文件看到提示/fAke_f1agggg.php 第二步:访问/fAke_f1agggg.php,看到提示:/fl4g.php 第三步:访问/fl4g.php看到源码 <?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); highlight_file(__file__); //level
极客挑战2019secret file
03-16
极客挑战2019Secret File是一个神秘的文件,里面可能包含了一些重要的信息或者任务。参赛者需要通过各种技能和智慧来解密这个文件,完成挑战。这是一个非常有趣和刺激的比赛,可以锻炼参赛者的思维能力和团队...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值