virink_2019_files_share

最新推荐文章于 2024-04-05 09:50:57 发布
最新推荐文章于 2024-04-05 09:50:57 发布
阅读量751 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43801002/article/details/107622090
版权

题目
image.png
让你玩魔方,没找他其他页面
过程
1.对原页面抓包,重发看到源码,看到三个关键点,一个是看到了上传点,一个是看到flag所在位置,服务器是openresty,一个java的站
image.png
2.没有上传点,联想到已知flag所在位置,使用一下文件包含
image.png
里面左边preview的格式是/preview?f= 尝试文件包含漏洞
由于是使用OpenResty,尝试包含nginx的配置文件,默认是
/etc/nginx/conf.d/default.conf
image.png
被过滤了,然后有一个很隐秘的提示,双写。
3.试了好几遍,才在f1ag_Is_h3re后面加了一个flag
image.png

浩歌已行
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUU virink_2019_files_share
ToyCarryYou的博客
05-03 595
拿到题目可以看到是一个动态魔方,页面左下角有个设置点进去只能改改颜色并没有什么信息。(不知道真把魔方还原了能不能拿到flag呢) 抓包看一下 首先看到服务器是openresty,然后有个上传文件夹和flag目录 访问uploads 只有一张图片,也没有上传点,所以试一下文件包含 先试下nginx的默认配置文件 发现…/被过滤了,这里双写绕过 /preview?f=....//....//.....
BUUCTF--virink_2019_files_share
qq_46263951的博客
08-11 281
打开后的页面 抓包,这里可以看到有一个uploads文件夹和一个flag提示 访问/uploads/文件夹 通过抓包可以发现当单击Preview文件时访问方式是/preview?f=favicon.ico 由于是使用OpenResty,尝试包含nginx的配置文件,默认是/etc/nginx/conf.d/default.conf 尝试访问后发现过滤了../,所以使用双写绕过 /preview?f=....//....//....//....//....//....//....//e...
探索 FilesShare:一个高效、安全的文件共享平台
最新发布
gitblog_00023的博客
04-05 366
探索 FilesShare:一个高效、安全的文件共享平台 项目地址:https://gitcode.com/zhixiaochuan12/FilesShare FilesShare 是一个基于 Web 的开源项目,旨在为用户提供一个简单、快速且安全的文件上传和分享服务。无论是个人文件存储还是团队协作,FilesShare 都是一个理想的选择。本文将深入探讨其技术实现、功能特性,并解释为什么它值得你...
BUUCTF virink_2019_files_share
Senimo
01-07 1085
BUUCTF virink_2019_files_share 考点: 任意文件读取 双写../绕过过滤 双击开始后,是一个拼魔方的小游戏,进行简单的信息收集,限制了鼠标右键功能,在地址栏前加入view-source:即可,得到提示: <link rel="stylesheet" href="/static/style.css"> <link rel="icon" href="/uploads/favicon.ico" type="image/x-icon" /> <!--
php代码审计系列教程,Virink主讲的PHP代码审计实战视频课程
weixin_42301889的博客
03-10 224
1.1、检查数据是否可用接口开发检查数据是否可用作为注册功能的辅助。1.1.1、功能分析请求的url:/user/check/{param}/{type}参数:从url中取参数响应的数据:json数据。TaotaoResult,封装的数据校验的结果为true:表示成功,数据可用,false:失败,数据不可用。业务逻辑:1.1.2、Dao1.1.3、Service先在taotao-sso-inter...
findallpic.rar_Traverse_all_files
07-15
查找文件夹及子文件夹里面的所有图片文件,并显示结果。
GUI_Data.rar_Before_vasp input files
09-19
This is a GUI to navigate and edit VASP input files. Does not work on any directory besides the one I specified before publishing.
OBJ.rar_obj_obj files
09-21
obj files for arm7 for other
leds.rar_it_led files
09-19
it contains keil files for blinking led
cs.rar_For Better_files
09-21
special tool for making your CPu better runnig
Virink主讲的PHP代码审计实战视频课程
a18854483074的博客
12-05 1442
课程介绍 讲师Virink.,自称某草根Web狗,专注代码审计;师从度娘、谷歌还有P师傅等各个前辈大牛;单刷各大CTF线上赛的战五渣。 讲师结合自身的学习经验,设计了适合代码审计入门指导的课程《PHP代码审计实战》。在本课程中,第一二章系统的讲解代码审计入门的一些基础知识:代码审计环境的准备、代码审计的一般步骤、INI文件的安全配置、一些常见的危险函数、常用Web的漏洞类型、掌握相关审计工具的使用...
域渗透之获取用户明文凭据
ToyCarryYou的博客
05-13 1038
明文凭据 使用工具直接获取明文密码(需要管理员权限) mimikatz mimikatz是法国安全研究员本杰明,德尔皮开发的一款轻量级调试器,能够从windows认证进程中获取windows处于active状态时的账号明文密码 2.0版本后不需要注入进程即可获取明文密码。 下载网址,https://github.com/gentilkiwi/mimikatz/releases 下载完后可能会被杀毒...
汇编语言归纳总结(一)
ToyCarryYou的博客
05-29 738
计算机与0和1 我们目前主要使用的计算机都是大规模集成电路机,是采用大规模和超大规模的集成电路作为逻辑元件的。 集成电路,按其功能、结构的不同,可以分为模拟集成电路、数字集成电路和数/模混合集成电路三大类。而我们的计算机主要是采用数字集成电路搭建的。 逻辑门是数字逻辑电路的基本单元。常见的逻辑门包括“与”门,“或”门,“非”门,“异或”等等。通过逻辑门可以组合使用实现更为复杂的逻辑运算和数值运算。 逻辑门可以通过控制高、低电平,从而实现逻辑运算。电源电压大小的波动对其没有影响,温度和工艺偏差对其工作的可靠性
FileShare枚举的使用(文件读写锁)
weixin_34096182的博客
04-20 251
开发过程中,我们往往需要大量与文件交互,但往往会出现很多令人措手不及的意外,所以对普通的C#文件操作做了一次总结,问题大部分如下: 1:写入一些内容到某个文件中,在另一个进程/线程/后续操作中要读取文件内容的时候报异常,提示System.IO.IOException: 文件“XXX”正由另一进程使用,因此该进程无法访问此文件。 2:在对一个文件进行一些操作后(读/写),随后想追加依然报Sys...
mkdir: Permission denied: user=root, access=WRITE
weixin_34138377的博客
10-20 655
2019独角兽企业重金招聘Python工程师标准>>> ...
73.4. Moose File System
weixin_34223655的博客
12-20 271
http://www.moosefs.org/ 73.4.1.Master server installation groupadd mfs useradd -g mfs mfs cd /usr/local/src wget http://pro.hit.gemius.pl/hitredir/id=nXCV9nrckU2Et.zoR5k...
Download 4A0-106 Exam Cram to Make Your Success Guaranteed
weixin_30362083的博客
07-17 106
Tired of doing the same job? Get your hands on 4A0-106 exam It is the nature of the human being that he/she will get tired of doing the same task over and over, same is the case of the SRA profession...
使用ota_from_target_files报错
05-24
使用 `ota_from_target_files` 命令生成 OTA 包可能会出现各种问题,以下是一些常见的报错及解决方法: 1. `make otapackage` 后找不到 `ota_from_target_files` 命令 这种情况可能是由于没有在 `PATH` 环境变量中添加 `build/tools` 的路径所致。可以在终端中执行以下命令添加: ``` export PATH=$PATH:/path/to/android/source/build/tools ``` 其中 `/path/to/android/source` 是你的 Android 源代码根目录的路径。 2. `ota_from_target_files` 报错 `ERROR: Could not extract system image: /path/to/system.img` 这种情况可能是由于指定的 `system.img` 文件不存在或者路径不正确所致。可以检查一下路径是否正确,如果路径正确但是文件不存在,可以重新编译一遍系统镜像。 3. `ota_from_target_files` 报错 `ERROR: Could not find file /path/to/target_files.zip` 这种情况可能是由于指定的 `target_files.zip` 文件不存在或者路径不正确所致。可以检查一下路径是否正确,如果路径正确但是文件不存在,可以重新编译一遍系统镜像。 4. `ota_from_target_files` 报错 `ERROR: Could not find file /path/to/releasetools.py` 这种情况可能是由于没有运行 `source build/envsetup.sh` 或者没有设置 `PYTHONPATH` 环境变量所致。可以尝试在终端中执行以下命令: ``` source build/envsetup.sh export PYTHONPATH=$PYTHONPATH:/path/to/android/source/build/tools/ ``` 其中 `/path/to/android/source` 是你的 Android 源代码根目录的路径。 5. `ota_from_target_files` 报错 `ERROR: Could not find adb binary` 这种情况可能是由于没有安装 adb 或者 adb 没有加入 `PATH` 环境变量所致。可以尝试在终端中执行以下命令: ``` sudo apt-get install adb export PATH=$PATH:/path/to/android/sdk/platform-tools/ ``` 其中 `/path/to/android/sdk` 是你的 Android SDK 的路径。 以上是一些常见的 `ota_from_target_files` 报错及解决方法,如果以上方法无法解决你的问题,可以通过 Google 或者 GitHub 等渠道寻找更多解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值