Buuctd[极客大挑战 2019]Secret File

最新推荐文章于 2024-03-27 20:24:20 发布
最新推荐文章于 2024-03-27 20:24:20 发布
阅读量132 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52718293/article/details/117406298
版权

在这里插入图片描述
写过之前buu的那道include后对伪协议有了一点了解,看到file这个词,感觉是要读取文件。
在这里插入图片描述
打开后f12,能看到一个php文档
在这里插入图片描述
点进去之后就这样了
在这里插入图片描述
因为之前看了伪协议的原因,所以尝试了一下
?file=data://text/plain [post]<?php phpinof()?>
和 ?file=php://input [post]<?php phpinof()?>
两个结果都是
(为什么不尝试php://filter那个,因为include那题用过了,我也没想到这题也是)
在这里插入图片描述
然后小瑶就去看大佬们的wp了
发现要先抓包(因为action.php访问时间很短,跳转到end.php后什么也没有),之后就乖乖去抓包了
在这里插入图片描述

抓包后就能看到一个 secr3t.php文档,尝试进行访问
在这里插入图片描述
访问后可以看到一段php代码,提示flag放在了flag.php里,然后我们访问flag.php
在这里插入图片描述查看源代码,发现前端中没有显示flag,由于之前secr3t.php里有一个文件包含漏洞(flag可能写在了php代码里面)
仔细分析一下代码,传入的file经过了过滤(还刚好过滤了之前小瑶一开始猜测的两个伪协议,真是让人头大!)
因为没有过滤filter
所以可以和buu上一题include构造的payload一样
url/secr3t.php?file=php://filter/convert.base64-encode/resource=flag.php 获得一个用base64编码的php代码

在这里插入图片描述最后直接base64解密即可获得flag
提供一个大佬细节

*小瑶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
[挑战 2019]Secret File 1解题思路
m0_74047686的博客
03-04 2297
在做这道题的时候,主要是会使用burpsute工具,并且还要了解PHP伪协议的一些知识及概念,最后还用到了一些密码里的base64,这些都需要了解一下。
secret_file
12-24
攻防世界pwn题,该题虽然最终解题脚本比较简单,但分析过程还是比较中肯的,适合新人一同学习。解题wp链接:https://blog.csdn.net/A951860555/article/details/111601870
Buuctf RSA 题目总结
Ahuuua的博客
10-20 7589
1.RSA 题目: 在一次RSA密钥对生成中,假设p=473398607161,q=4511491,e=17 求解出d作为flga提交 首先: 学习RSAtool2的使用: 1.Number Base 设置为十进制 2.注意:Public Exponent这里要使用16进制的数,如果公钥e=17的话,就应该填入十六进制的11 3.给出p,q,e的话直接填入,再点击Calc.D,获得d 4.给出的是n和e的话,输入n和e,点击Factor N(分解),得到p,q,再重复第3步就能得到d了
Buuctf部分题解
weixin_53549425的博客
09-18 1962
这里写目录标题[挑战 2019]Http1[挑战 2019]Knife1[挑战 2019]Upload1buuctf_phpBuuctf__[SUCTF 2019]CheckIn 1 [挑战 2019]Http1 老规矩,查看源代码 <!-- Two --> <section id="two" class="wrapper alt style2">
BUUCTF之[挑战 2019]Secret File--------文件包含和密码文件
weixin_44632787的博客
06-13 1016
  BUUCTF之[挑战 2019]Secret File--------文件包含和密码文件 启动我们的项目,看到挑战的页面 右键查看网页的源代码   看到一个可疑的链接,我们访问它:./Archive_room.php。然后出现以下新的页面,我们根据提示访问它看看会出现什么…   啊啊啊???什么?就没别的提示了吗?   不急,我们看看源代码。好吧源代码什么也没有。但是根据上一个页面的提示:**没看清楚?回去再仔细看看吧。**这句话很可疑,是不是提示我们说那里有个重定向,导致页面跳转的太快所
【web | CTF】挑战 2019 Secret File
weixin_46301214的博客
05-27 1179
解题要点 【解题思路】 目录扫描+检查源码 ->发现了一个隐藏目录 根据文字提示,觉察到有隐藏暗跳 找到暗链后访问就能看到解题源码 直接利用文件访问漏洞读取php文件源码即可 【难点】 通过题目语言暗示觉察出暗中跳转 【漏洞点】 源码泄露 文件包含漏洞 步骤一:发现隐藏目录 查看源码发现了隐藏的目录文件 ctrl+点击,跳转速达 步骤二:发现隐藏文件跳转网址 SECRET可以点击,那我们就点一下看看吧...
BUUCTF [挑战 2019]Secret File
part22的博客
12-15 422
采用php伪协议来读取flag文件,构造file协议playload得,得到base64加密码。查看数据包并无更多线索,尝试将数据包改为post方式提交,发现secr3t.php文件。直接访问secret3t.php,得到flag的线索,并观察过滤方法。重新点击一遍secret,并使用burp suite抓一下包。点击链接跳转到令一页面,点击secret键发现并无更多信息。尝试直接访问flag.php,无法直接访问。点击右键查看一下源码,发现隐藏着一个链接。题目首页并没有太多有用的东西。
[挑战 2019]Secret File
xixixihan的博客
11-22 398
[挑战 2019]Secret File
[挑战 2019]Secret File 1(php伪协议)
m0_74119193的博客
11-13 1649
小白第一篇题解,有些地方可能还不清楚,或者存在错误,大佬们如果看到可以指点一下(●'◡'●)
BUUCTF——[挑战 2019]Secret File 1
2303_77380355的博客
03-27 193
用burpsuite抓包,发现一个注释链接。得到base64,进行解码得到flag。F12查看源码,进入链接。进入flag.php查看。F12查看源码,没有东西。点击SECRET进入。F12源码里没有东西。进入链接发现一串源码。
BUUCTF-[挑战 2019]Secret File1
Monica的博客
09-10 516
目录 题目: 分析: 源码: 知识点: 分析: 方法1: 方法2: 题目: 分析: 打开环境就是一个全黑界面加几行字,没有其他发现,日常查看源代码:发现链接 点击链接,跳转到一个有secret点击的页面,点击发现: 什么也没有。按道理不应该啊,他说在回去看看 我们返回到secret页面,查看源代码: 发现了action.php,但是仔细一看,查阅结束页面显示的是end.php,猜测可能是跳转了。 我们用bp抓包看看,...
阿里云IoT创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 创新挑战赛》的分享,就挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 学院JAVA视频教程 新版 7大部分
天池Apache Flink挑战赛-垃圾图片分类算法源码+项目说明.zip
01-28
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...天池Apache Flink挑战赛-垃圾图片分类算法源码+项目说明.zip
mpu6050陀螺仪使用方法开发教程文档.docx
07-30
mpu6050陀螺仪使用方法
【SCI顶级】龙格库塔算法RUN-CNN-LSTM-Multihead-Attention温度预测【含源码 5747期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博文章底部QQ名片; 4.1 CSDN博或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Mutilhead-Attention回归预测
大模型的数学之魂:统计学习理论精要
07-30
大型机器学习模型,通常简称为“大模型”,是指具有数十亿甚至数千亿参数的深度神经网络模型。这些模型因为其庞大的参数量和复杂的计算结构,能够处理非常复杂的任务和数据,展现出强大的表达能力和预测性能。大模型在自然语言处理、计算机视觉、语音识别和推荐系统等多个领域都有广泛的应用。 大模型的设计目的是通过训练海量数据来学习复杂的模式和特征,从而具备强大的泛化能力,能够对未见过的数据做出准确的预测。与参数较少、层数较浅的小模型相比,大模型虽然需要更多的计算资源和时间来训练和推理,但它们展现出了一种被称为“涌现能力”的特性,即从原始训练数据中自动学习并发现新的、更高层次的特征和模式。 大模型的发展历程可以分为几个阶段,从早期的卷积神经网络模型发展到以Transformer为代表的全新神经网络模型,再到当前以GPT为代表的预训练大模型阶段。Transformer架构因其自注意力机制而成为大模型的核心技术,它使得模型能够更好地理解和处理文本数据中的长距离依赖关系。 大模型的分类主要包括语言大模型(NLP)、视觉大模型(CV)和多模态大模型。语言大模型专注于处理文本数据和理解自然语言,而视觉大模型用
唯美淡雅四页.zip
最新发布
07-30
【简历模板】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
挑战2019secret file
03-16
挑战2019的Secret File是一个神秘的文件,里面可能包含了一些重要的信息或者任务。参赛者需要通过各种技能和智慧来解密这个文件,完成挑战。这是一个非常有趣和刺激的比赛,可以锻炼参赛者的思维能力和团队...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值