BUUCTF-Web-[极客大挑战 2019]Secret File

最新推荐文章于 2023-10-28 16:51:34 发布
最新推荐文章于 2023-10-28 16:51:34 发布
阅读量222 收藏
点赞数 3
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52710947/article/details/111187218
版权

朋友们好啊我是混元形意太极门掌门人马保国
刚才有个朋友发给我一个链接,我一看!嗷!原来是CTF题啊!他非要让我解解,我说可以。
诶…我啪的一下就进入了这个链接
在这里插入图片描述
虽然我不想知道她的秘密啊…但是还是要不情愿的打开源页面查看源代码, 发现其中存在隐藏链接啊

在这里插入图片描述
诶…接着不情愿的点击这个隐藏链接跳转页面
在这里插入图片描述
嗷!再次不情愿的点击SECRET
在这里插入图片描述
哈!不讲武德…没看清!? 那就怪不得我马某人掏出burp抓包了!
在这里插入图片描述
接着我以GET方式进入 action.php 得到一个秘密文件 secr3t.php
哼!年轻人!
在这里插入图片描述
我笑了一下进入这个秘密文件后出现以下界面啊
在这里插入图片描述
我们试着以GET方式传入变量file,值为flag.php
啊…哈!骗!偷袭!很快嗷!发现看不到flag…
在这里插入图片描述
诶…百度搜索PHP伪协议慢慢看一会儿…了解到这里应该需要结合php://filter协议流读取目标文件内容啊
嗷!就是在secr3t.php后面添加
?file=php://filter/read=convert.base64-encode/resource=flag.php
然后进行访问得到一串代码嗷
在这里插入图片描述
可以看出这里需要用到base64解码啊!
我一个闪电五连鞭!
解码成功得到flag!
在这里插入图片描述
诶传统武术点到为止,他已经输了。

赶不上早饭
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GFG-:极客极客30天挑战
02-17
极客30天挑战2021年1月 30天练​​习问题的Python解决方案: 与同学一起翻阅怪胎。(Array); 第N个自然数; 不能表示为Sum的最小正整数; 从抽屉里拿出“ k”双袜子的最小采摘次数; 螺旋矩阵奇克兰的硬币; 有效...
微信小程序-极客学院.zip
04-14
微信小程序-极客学院.zip,小程序模板代码,基于微信小程序的在线免费小说的开发。,可以直接从源码里粘贴复制过来,虽然这样做不利于自己独立编写代码。
BUUCTF Web [极客挑战 2019]Secret File
热门推荐
wangyuxiang946的博客
10-27 1万+
「作者主页」:士别三日wyx   此文章已录入专栏《网络攻防》,持续更新热门靶场的通关教程 「未知攻,焉知收」,在一个个孤独的夜晚,你完成了几百个攻防实验,回过头来才发现,已经击败了百分之九十九的同期选手。 [极客挑战 2019]Secret File一、题目简介二、思路分析1)信息泄露2)文件包含三、解题步骤1)查看网页源代码2)拦截请求,查看响应信息3)文件包含漏洞4)PHP伪协议读取文件内容四、总结 一、题目简介 进入链接以后是一个「文字」页面,没有什么特别的功能 二、思路.
web_buuctf_[极客挑战 2019]Secret File
m0_62008601的博客
03-27 2307
文件包含+php伪协议的应用
BUUCTF-Web-代码审计-[极客挑战 2019]Secret File
weixin_42566218的博客
02-23 675
BUUCTF-Web-代码审计-[极客挑战 2019]Secret File 题目链接:BUUCTF 代码类型:php语言 审计难度:低 知识点:字符串查找函数stristr()、文件包含函数include() 解题过程:解题步骤在这篇文章中 审计过程 secr3t.php <?php highlight_file(__FILE__); error_reporting(0); $file=$_GET['file']; if(stristr($file,"
Webbuuctf-[极客挑战 2019]Secret File
qq_43682582的博客
03-25 119
[极客挑战 2019]Secret File F12查看源码: 访问/Archive_room.php 访问secret: bp抓包:
BUUCTF_Web——[极客挑战 2019]Secret File、[RoarCTF 2019]Easy Calc、[GXYCTF2019]Ping Ping Ping
Ho1aAs‘s Blog
10-04 1009
文章目录一、[极客挑战 2019]Secret File二、[RoarCTF 2019]Easy Calc三、[GXYCTF2019]Ping Ping Ping完 一、[极客挑战 2019]Secret File 打开环境,审查网页源码,发现隐藏的链接 点击超链接,提示信息可能被忽略了 使用Burp抓包,审查源码 访问secr3t.php 代码审计,这是文件包含,将file赋值为flag.php,访问 考虑使用PHP伪协议过滤器filter再次访问 得到base64加密信息,解码即可获得
GeekBand-IOS-1501-SampleProject:极客班IOS专业样本项目资源库
04-30
GeekBand-IOS-1501-SampleProject极客班IOS专业样本项目资源库为了推进项目实践,极客班将推出样本项目(蓦然)的Lab Manual帮助学员实践一个APP的开发。项目讨论区:更新日志:2015/09/23 蓦然LabManual_登录模块_...
微信小程序实验源码-极客学院 v1.0
12-02
微信小程序实验源码-极客学院是以wxml进行开发的微信小程序源码。 它实现文章列表,文章详情等功能,特色: - 实现右侧菜单栏 - 实现显示markdown内容 数据接口: 使用本地数据接口 目录结构: - image 存放项目图片...
HBuilder-飞速编码的极客工具,手指爽,眼睛爽
01-12
HBuilder-飞速编码的极客工具,手指爽,眼睛爽
buuctf web Secret File
qq_50647304的博客
10-12 421
打开链接 直接F12查看源代码,发现一个超链接Archive_room.php 访问该链接 点击secret跳转到end.php页面 跳转的时间很快,我们要用抓包工具burp suite 先打开拦截请求 在火狐浏览器打开代理设置 地址栏输入题目链接,回车,发现burpsuite闪动说明抓到了包,点击放包,在HTTP历史记录中查看记录,发现secr3t.php 访问http://19ac6a3b-358e-4c02-8488-14ac228ca942.node3.buuoj.cn/secr3t.
BUUCTF-web Secret File[极客挑战]wp
想喝奶茶的胖大海
02-25 1425
检查 跟踪 观察源代码,发现可疑跳转,修改颜色便可以看到 继续跟进,又发现可疑跳转 跳转后直接到达了end.php,可是触发跳转的是action.php, 抓包一探究竟 继续跟进 secr3t.php 虽然过滤种种,但没有过滤file,可以使用 php的file伪协议 继续 ?file=php://filter/convert.base64-encode/resource=flag.p...
BUUCTF WEB [极客挑战 2019]Secret File
Y1da的博客
04-09 1821
BUUCTF WEB [极客挑战 2019]Secret File 启动后效果如下 F12查看源代码 <!DOCTYPE html> <html> <style type="text/css" > #master { position:absolute; left:44%; bottom:0; text-align :center; } p,h1 { curso
BUUCTF-web-[极客挑战 2019]Secret File
weixin_44866139的博客
05-16 3798
查看源码之后发现achieve_room.php 点击secret,发现end.php 提示回去再仔细看看,查看achieve.php的源代码 发现action.php,访问,然而依旧回到了end.php 说明这个跳转的时间特别快,我们需要抓包,有一个抓包神器BrupSuite,使用它发现action有一个隐藏的回应 <html> <title>secret</title> <meta charset="UTF-8"> <?php
[极客挑战 2019]Secret File
hao2580的博客
05-03 1929
应该有隐藏信息。查看源代码,观察发现 点开Archive_room.php,绝密档案~ 然后 button 界面是 /end.php 应该是/action.php 显示的时间很短,用burpsuite 拦截 先看一下flag.php 啥也没有? 再康康文件包含漏洞知识-PHP伪协议。应该是传入的file经过了过滤,但是没有过滤filter 构造url ?file=php://filte...
[BUUCTF]---web之[极客挑战 2019]Secret File
weixin_44164784的博客
04-14 399
欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体...
buuctf在线测评web Secret File
m0_61120245的博客
05-19 416
输入URL进入页面: 这个页面没有发现什么有用的信息,F12查看源码看看有什么收获 在源码里可以看到有Archive_room.php,我们进入这个php页面 这里有一个叫secret的连接,点击进去看看有什么 (啊这,是没看清吗,是没看着好吧) 我来回试了几次,确实什么都没有,这里边肯定有什么猫腻。。 action.php有问题,回到Archive_room.php, 抓包看看 没看出什么,看看相应包 藏得挺深啊,看看这个secr3t.php有什么 ...
buuctf-web-[极客挑战 2019]Secret File1
mlws1900的博客
08-05 482
get传参,可以利用文件包含,对tp,input进行了过滤,可以用filter对文件进行读取,而且已经告知我们flag在flag.php里面,写出如下payload。刚开始看到这个界面还以为是目录扫描,结果把网页扫死了。发现一个 secr3t.php,打开获得了代码。对以上编码进行base64解码获得flag。点击secret,看来要利用bp抓包。...
青少年CTF Misc 八卦迷宫
最新发布
qq_41818842的博客
10-28 219
发现前缀为 50 4B 03 04 可得出是一个zip 我这里有总结,可以查看。下载完成后发现是一个zip, 但是没有后缀, 把它放到Winhex分析。进来发现是一张图片,然后需要走出迷宫把所以文字用拼音代替。
极客挑战2019secret file
03-16
极客挑战2019Secret File是一个神秘的文件,里面可能包含了一些重要的信息或者任务。参赛者需要通过各种技能和智慧来解密这个文件,完成挑战。这是一个非常有趣和刺激的比赛,可以锻炼参赛者的思维能力和团队...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值