[极客大挑战 2019]Secret File

于 2021-08-31 22:50:34 发布
阅读量96 收藏
点赞数
分类专栏: web安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55777983/article/details/120028656
版权

在这里插入图片描述
海贼王式开头
放在那里,应该会有提示
ctrl+u查看页面源代码
在这里插入图片描述
发现了目标
为了方便后面的操作,我们直接使用bp
在这里插入图片描述
果然,又发现了目标
在这里插入图片描述
套路挺多啊
在这里插入图片描述
到了决战时刻
用get传一个参数file,要绕过四个黑名单
在这里插入图片描述
我们直接使用这个php伪协议来进行文件读取
payload:?file=php://filter/read=convert.base64-encode/resource=[你要读取的文件]
在这里插入图片描述
将得到的密文进行base64解码
得到了flag

八云虹
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
secret_file
12-24
攻防世界pwn题,该题虽然最终解题脚本比较简单,但分析过程还是比较中肯的,适合新人一同学习。解题wp链接:https://blog.csdn.net/A951860555/article/details/111601870
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
ISCC2019个人挑战赛题目练习
05-05
【ISCC2019个人挑战赛题目练习】是一次针对网络安全技术的竞赛,旨在提升参赛者在信息安全领域的技能和实战经验。此类挑战通常涵盖多种技术领域,包括但不限于密码学、漏洞分析、网络嗅探、逆向工程、Web安全以及...
极客学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新版 7大部分
搭建sql-libs的环境
qq_55777983的博客
04-15 1991
想学sql注入,但是搭建sql-libs不知道如何下手,可以看过来 1.准备工具 phpstudy:https://www.xp.cn sql-libs:https://github.com/Audi-1/sqli-labs 首先得下载好这两样东西,然后才能着手安装 2.想不出名字 安装完phpstudy,下载完sql-libs后,打开phpstudy,启动Apache和mysql 在phpstudy的软件管理中下载php5.x的版本(过高的版本后面安装sql-libs会不兼容,并不是越高越好) 3.解压
ctfshow phps源码泄露
qq_55777983的博客
07-19 1439
根据题目提示,访问/index.phps 开始下载源码 (水的一批
ctfshow vim临时文件泄露
qq_55777983的博客
07-24 1334
vim是linux自带且常用的文件编辑器 vim在编辑时会生成一个隐藏的临时文件 当vim非正常关闭时这个文件就会被保留下来 即.(编辑的文件加上).swp (好水
ctfshow CDN穿透
qq_55777983的博客
07-28 1310
flag是ip地址,直接在cmd命令里Ping了一手ctfshow.com就出来了 (好水
ctfshow 源码压缩包泄露
qq_55777983的博客
07-19 1115
按提示访问/index.phps.zip (好水
ctfshow 探针泄露
qq_55777983的博客
07-28 925
有的网站搭建时可能在根目录下留下探针,据说2016版的小皮/www下默认自带探针 (据说) 所以我们直接访问url/tz.php 发现phpinfo是灰色的,我们直接点击 发现flag(图中红色部分)
ctfshow 域名txt记录泄露
qq_55777983的博客
07-24 922
在线域名解析 解析域名是信息搜集中的基础
ctfshow 前端密钥泄露
qq_55777983的博客
07-30 847
ctrl+u 直接pp抓包 进行post传参
ctfshow 敏感信息公布
qq_55777983的博客
07-24 750
打开网站,根据题目,猜测应该是该网站泄露了一些信息 翻到最下面原来是这个 接下来我迷茫了很久(其实题目没头绪的时候用御剑扫一下有时候能获得意外收获) 这里我们访问robots.txt反爬文件可以发现 我们直接访问url/admin/ 不给账号很多题目都是admin然后我们直接输入之前拿到的网站最下面泄露的信息成功登录 ...
ctfshow js敏感信息泄露
qq_55777983的博客
07-30 737
ctrl+u查看源代码 根据提示点击is/flappy_js.js 发现一段被网页转码的东西 进行unicode解码
ctfshow 版本控制泄露源码2
qq_55777983的博客
07-24 731
这里尝试了url/.git/后发现不行,于是我直接拿御剑扫描发现了这个 于是访问url/.svn/
ctfshow 密码逻辑脆弱
qq_55777983的博客
07-27 661
按照惯例先御剑扫 发现url/admin/ 猜测账号是admin密码是admin 失败,忘记密码康康 发现要什么城市 回去找线索 一般人还真想不到这个qq是线索,找了一万年 查找这个qq发现源自武汉 拿到密码,账号还是admin 拿到flag ...
ctfshow 编辑器配置不当
qq_55777983的博客
07-25 628
按照惯例先来御剑扫描一遍 发现url/.editor 我们直接访问 找了一圈点到插入文件的时候发现通过文件空间可以查看服务器的目录结构 apache的网站通常在/var/www/html/下 我们发现一个nothing(很可疑) 果然发现flag的路径 接下来我们直接在url中访问flag (又水了一章 ...
ctfshow 内部技术文档泄露
qq_55777983的博客
07-24 618
根据题目名称又是一种泄露 找了很久在网页最下方点击document即可下载内部技术文档 打开给了用户名和密码还有一个后台URL 接下来我们访问后台URL,登录即可
极客挑战2019secret file
最新发布
03-16
极客挑战2019Secret File是一个神秘的文件,里面可能包含了一些重要的信息或者任务。参赛者需要通过各种技能和智慧来解密这个文件,完成挑战。这是一个非常有趣和刺激的比赛,可以锻炼参赛者的思维能力和团队合作精神。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值