Web之buuctf-[极客大挑战 2019]Secret File

最新推荐文章于 2024-05-20 17:16:41 发布
最新推荐文章于 2024-05-20 17:16:41 发布
阅读量117 收藏
点赞数
分类专栏: ctf 文章标签: 安全 php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43682582/article/details/115210827
版权

[极客大挑战 2019]Secret File

F12查看源码:
在这里插入图片描述访问/Archive_room.php

![在这里插入图片描述](https://img-blog.csdnimg.cn/20210325155501896.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzNjgyNTgy,size_16,color_FFFFFF,t_7访问secret:
在这里插入图片描述bp抓包:
在这里插入图片描述发现了一个secr3t.php,访问一下看看:
在这里插入图片描述include(),常见的文件包含函数,以get方式传入参数file,还有一些过滤,是文件包含了,访问flag.php看看:

在这里插入图片描述flag藏起来了,使用php伪协议读取flag.php进行base64加密后的源码。
构造payload:secr3t.php?file=php://filter/read=convert.base64-encode/resource=flag.php
在这里插入图片描述再base64解码即可:
在这里插入图片描述

元泱
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信小程序-极客学院.zip
04-14
微信小程序-极客学院.zip,小程序模板代码,基于微信小程序的在线免费小说的开发。,可以直接从源码里粘贴复制过来,虽然这样做不利于自己独立编写代码。
BUUCTF-Web-[极客挑战 2019]Secret File
赶不上早饭的博客
12-14 218
朋友们好啊我是混元形意太极门掌门人马保国 刚才有个朋友发给我一个链接,我一看!嗷!原来是CTF题啊!他非要让我解解,我说可以。 诶…我啪的一下就进入了这个链接 虽然我不想知道她的秘密啊…但是还是要不情愿的打开源页面查看源代码, 发现其中存在隐藏链接啊 诶…接着不情愿的点击这个隐藏链接跳转页面 嗷!再次不情愿的点击SECRET 哈!不讲武德…没看清!? 那么就不要怪我马某人掏出burp抓包了! 接着我以GET方式进入 action.php 得到一个秘密文件 secr3t.php 哼!年轻人! 我笑
web_buuctf_[极客挑战 2019]Secret File
m0_62008601的博客
03-27 2305
文件包含+php伪协议的应用
CTF-Web-[极客挑战 2019]Secret File
归子莫的博客
05-02 1340
CTF-Web-[极客挑战 2019]Secret File 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Web类,[极客挑战 2019]Secret File 打开题目的实例 思路 看到这种...
[极客挑战 2019]Secret File
hao2580的博客
05-03 1926
应该有隐藏信息。查看源代码,观察发现 点开Archive_room.php,绝密档案~ 然后 button 界面是 /end.php 应该是/action.php 显示的时间很短,用burpsuite 拦截 先看一下flag.php 啥也没有? 再康康文件包含漏洞知识-PHP伪协议。应该是传入的file经过了过滤,但是没有过滤filter 构造url ?file=php://filte...
BUUCTF_Web——[极客挑战 2019]Secret File、[RoarCTF 2019]Easy Calc、[GXYCTF2019]Ping Ping Ping
Ho1aAs‘s Blog
10-04 1006
文章目录一、[极客挑战 2019]Secret File二、[RoarCTF 2019]Easy Calc三、[GXYCTF2019]Ping Ping Ping完 一、[极客挑战 2019]Secret File 打开环境,审查网页源码,发现隐藏的链接 点击超链接,提示信息可能被忽略了 使用Burp抓包,审查源码 访问secr3t.php 代码审计,这是文件包含,将file赋值为flag.php,访问 考虑使用PHP伪协议过滤器filter再次访问 得到base64加密信息,解码即可获得
微信小程序实验源码-极客学院 v1.0
12-02
微信小程序实验源码-极客学院是以wxml进行开发的微信小程序源码。 它实现文章列表,文章详情等功能,特色: - 实现右侧菜单栏 - 实现显示markdown内容 数据接口: 使用本地数据接口 目录结构: - image 存放项目图片...
极客标记:极客标记-极客标记系统
02-03
极客标记-极客标记系统 设置服务器 npm install -g gitinspector npm install -g eslint npm install nano --save npm install couch-admin --save npm install pouchdb --save npm install --save pouchdb-find npm...
secret_file
12-24
攻防世界pwn题,该题虽然最终解题脚本比较简单,但分析过程还是比较中肯的,适合新人一同学习。解题wp链接:https://blog.csdn.net/A951860555/article/details/111601870
BUUCTF-Web-代码审计-[极客挑战 2019]Secret File
weixin_42566218的博客
02-23 662
BUUCTF-Web-代码审计-[极客挑战 2019]Secret File 题目链接:BUUCTF 代码类型:php语言 审计难度:低 知识点:字符串查找函数stristr()、文件包含函数include() 解题过程:解题步骤在这篇文章中 审计过程 secr3t.php <?php highlight_file(__FILE__); error_reporting(0); $file=$_GET['file']; if(stristr($file,"
buuctf-web-[极客挑战 2019]Secret File1
mlws1900的博客
08-05 474
get传参,可以利用文件包含,对tp,input进行了过滤,可以用filter对文件进行读取,而且已经告知我们flag在flag.php里面,写出如下payload。刚开始看到这个界面还以为是目录扫描,结果把网页扫死了。发现一个 secr3t.php,打开获得了代码。对以上编码进行base64解码获得flag。点击secret,看来要利用bp抓包。...
解锁Nginx跨域谜题:3步打造安全高效的CORS策略
2401_85000826的博客
05-16 461
Nginx作为一款强大的Web服务器和反向代理服务器,经常被用于处理跨域资源共享(CORS,Cross-Origin Resource Sharing)策略,以允许或限制不同源之间的资源请求。CORS是一种安全策略,用于决定Web浏览器是否应允许从一个域名加载的网页访问另一个域名下的资源。下面将深入解析如何在Nginx配置中实现对origin(请求来源)的限制,以精确控制跨域请求。
软考高级架构师:软件系统安全相关概念完整性、不可否认性、可控性、机密性、安全审计
明明如月的技术博客
05-19 198
了解软件系统安全的几个重要概念:完整性、不可否认性、可控性、机密性和安全审计,可以通过一些日常生活中的例子来帮助理解。
防静电劳保鞋:工业安全中的隐形守护者
YOUSUTO的博客
05-16 470
因此,防静电措施在工业安全中显得尤为重要。在众多防静电措施中,防静电劳保鞋作为工作人员脚下的隐形守护者,发挥着不可替代的作用。防静电劳保鞋作为工业安全中的隐形守护者,在防止静电危害方面发挥着重要作用。在工业生产中,我们应该充分认识到防静电措施的重要性,并合理选择和使用防静电劳保鞋等防护用品。在电子制造、石油化工、物流运输等行业中,静电可能导致设备损坏、产品性能下降,甚至引发火灾或爆炸。而防静电劳保鞋作为工作人员日常穿着的防护用品,能够在人员走动、操作设备时,有效消除人体静电积聚,减少静电带来的潜在风险。
全面解析防静电措施:保障工业安全,预防静电危害
YOUSUTO的博客
05-16 404
静电是一种常见的物理现象,由于电荷的不平衡而产生。在特定的环境中,静电可能会带来危害,如损坏电子设备、引起火灾等。因此,采取适当的防静电措施是非常重要的。总之,防静电需要采取综合的措施,从环境、设备、人员等多个方面入手,才能有效地减少静电的危害。
https为何安全
qq_38723814的博客
05-19 657
HTTPS(超文本传输安全协议)是一种用于安全通信的网络协议,它在HTTP协议的基础上通过SSL/TLS(安全套接层/传输层安全)协议来加密数据,以保护网络数据的传输安全
Web应用防火墙的重要性
最新发布
XRY_XIAO的博客
05-20 532
Web应用防火墙的重要性
Microsoft Dataverse中的安全概念
全网:架构师研究会
05-15 855
Dataverse的一个关键特性是其丰富的安全模型,可以适应许多业务使用场景。只有当环境中存在Dataverse数据库时,此安全模型才会发挥作用。作为管理员,您可能不会自己构建整个安全模型,但通常会参与管理用户、确保他们拥有正确的配置以及解决与安全访问相关的问题的过程。提示视频符号查看以下视频:Microsoft Dataverse – Security Concepts Shown In Dem...
buuctf web 极客挑战2019
08-24
对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值