[极客大挑战 2019]Havefun---[ACTF2020 新生赛] Include

最新推荐文章于 2023-06-01 23:03:19 发布
最新推荐文章于 2023-06-01 23:03:19 发布
阅读量281 收藏 1
点赞数 1
分类专栏: # buu练习记录 文章标签: php 安全 开发语言 经验分享 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45925514/article/details/124748535
版权

[极客大挑战 2019]Havefun

打开靶场,先看看源码,一看就发现了踪迹

image-20220430215849342

# 审计一下
$cat=$_GET['cat'];
echo $cat;
if($cat=='dog')
{
	echo 'Syc{cat_cat_cat_cat}';
}

使用Get方法获取一个参数cat的值,如果 cat == dog 就会输出一段话(这里给出的echo可能只是一个提示),然后就快快乐乐提交了

image-20220430220255398

[ACTF2020 新生赛] Include

打开靶场,点开 tips 发现提示

image-20220503092339733

image-20220503092408966

参数 file 接收文件,进行文件包含,用 php://filter/convert.base64-encode/resource=flag.php 将当前php文件的源码编码后带出

image-20220503092831491

解码后就得到了 flag

image-20220503092917669

在存在 文件包含漏洞 中,如果可以使用 php://filter/ 协议,就可以将任何文件经过编码进行输出,因为页面不会将 base64 编码进行解析,就会直接输出到页面上。

image-20220503093238453

image-20220503093208680

iKnsec
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NSSCTF-极客挑战2020-web-wp
F1rstb100d
09-21 557
NSSCTF-极客挑战2020-web-wp
[极客挑战 2019]Havefun&[ACTF2020 新生]Include
weixin_55026246的博客
08-06 2102
[极客挑战 2019]Havefun&[ACTF2020 新生]Include
BUUCTF 之 [极客挑战 2019] Havefun(GET 传参)
两个月亮
12-29 2250
网站首页没有按钮,提示信息等等。遇到这种情况往往需要查看网页源代码或进行网站后台扫描。我们先来查看一下网页源代码(右键后点击。在地址栏中输入构造后的链接,敲击。启动靶机后,映入眼帘的是一只猫。这是一段 PHP 代码。即可获得 flag。
Buuctf-Web-[极客挑战 2019]Havefun 题解&思路总结
最新发布
m0_62239233的博客
06-01 993
网页传参。
[极客挑战 2019]Havefun
weixin_38832257的博客
08-13 1059
题目名称:[极客挑战 2019]Havefun 1题目平台:BUUCTF题目类型:Web考察知识点:代码审计。
Jeopardy-Writeups:SniperOJ的CTF挑战
05-18
SniperOJ的挑战文章和源代码描述平台...─ pwn│ ├── pwn100-bof-x86-64│ ├── pwn100-shellcode-x86-64│ ├── pwn150-static-x86-64│ ├── pwn200-actf-run-circles│ ├── pwn200-shorter-shellc
PPJEmailPicker:UITextField替换以选择多个电子邮件
05-16
(PPJEmailPicker *) createAutoCompleteFieldWithFrame:( CGRect )frame{PPJEmailPicker * actf = [[PPJEmailPicker alloc ] initWithFrame: frame];actf. pickerDelegate = self;actf. possibleStrings = [...
matlab的90个实例.rar_actf8x_matlab基础知识的90个实例
09-24
学习matlab的基本使用例子,有矩阵运算,绘制曲线图等
潞安矿区高河井田构造样式探讨
06-24
高河井田位于沁水块坳东南部,主要含煤地层包括二叠系下统山西组和石炭系上统太原组,构造要素走向总体...通过对高河井田构造的系统分析,划分了两大类三亚类主要构造样式,并结合实例分析了各种构造样式对煤层的影响作用。
光立方888 573 2803程序
06-14
光立方888 573 2803程序,有详细的原理图
BUUCTF Web [极客挑战 2019]Havefun
热门推荐
wangyuxiang946的博客
10-25 1万+
「作者主页」:士别三日wyx   此文章已录入专栏《网络攻防》,持续更新热门靶场的通关教程 「未知攻,焉知收」,在一个个孤独的夜晚,你完成了几百个攻防实验,回过头来才发现,已经击败了百分之九十九的同期选手。 [极客挑战 2019]Havefun一、题目简介二、思路分析1)信息泄露2)代码功能审计三、解题过程1)查看页面源代码2)提交参数四、总结 一、题目简介 进入题目连接以后,出现了一只「猫」,普普通通的一只猫,没什么特别的功能。 二、思路分析 1)信息泄露 这一关是「信息泄露」.
BUUCTF__[极客挑战 2019]Havefun_题解
风过江南乱的博客
05-16 1546
看题 这题真的是最简单的一题了。以至于看到flag还以为是假的,毕竟吃过假flag的亏。 拿到题目,很好看 相关性F12,发现被注释的代码。 很简单的一段代码。 尝试get传入cat=dog http://e2c1cdbb-e689-45c2-ba6c-d8fddd629759.node3.buuoj.cn/?cat=dog 神奇的事情出现了,出现了一串神秘字符串。 尝试提交flag,成功,emmm。 就这?就这?就这? 最后 没什么知识点,就乐呵一下吧。 附
BUUCTF:[极客挑战 2019]Havefun
Starbright.的博客
10-29 1408
1.F12后将源码翻到底,发现GET; 2.传入?cat=dog; 3.获得flag。
buuctf [极客挑战 2019]Havefun
Kavint的博客
03-03 73
打开是一只尾巴会摇的猫猫。右键查看源代码试一试(我用的火狐浏览器)打开是一长串代码,拉到最下面看到提示。由代码可得,当cat==‘dog’时,会输出key。可见是GET传参,方法为在后面加?
BUUCTF[极客挑战2019]Have fun
thisissmallwhite的博客
04-18 103
会发现源代码中有段被注释的地方,这个是解决此题的关键。此时我们只需要传参就能解决,在url后输入。一般上来我们先查看下页面源代码。
[极客挑战 2019]Havefun1、EasySQL(BUUCTF)
HackerYY的博客
12-31 2085
[极客挑战2019]的两道水题 内附解题过程
[极客挑战 2019]Havefun 1(5)
weixin_48963887的博客
10-24 328
第二篇笔记No.2(5)[极客挑战 2019]Havefun 1 这道题挺简单的,在URL后面直接加上?/cat=dog,然后就显示出flag了,如下图所示 接下来我就记录一下我这道题的流程,这道题比较简单,再加上我想到自己第一次进入BUUCTF时不知道怎么弄,所以顺便截图见一下如何进入靶场,首先点自己想要的题,然后单击 单击之后就是下面这个图了 点击红圈圈里面蓝色的英语Launch an instance,就启动靶场了,复制下面的链接,就可以题了 http://0a1a3160-e654-
CTF-Web-[极客挑战 2019]Havefun
归子莫的博客
05-02 967
CTF-Web-[极客挑战 2019]Havefun 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Web类,[极客挑战 2019]Havefun 打开题目的实例 思路 一看到这个是不是很懵逼,...
[actf2020 新生]include
03-16
好的,我理解您的请求是让我用中文回答您的问题,那么以下是关于 "actf2020 新生" 和 "include" 的回答: "actf2020 新生" 是指 2020 年举行的一项针对新生的网络安全。该比旨在通过一系列的挑战来测试...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iKnsec

您的鼓励,是我创作的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值