第一次写博 web2 打开网页是一个不断加快的动画,没有特别的线索。 右键查看元素,结果flag就在body注释里,如图: ps:感觉这题收获不大,也许可以理解一下这题的js代码,就当是学js了 p:考察右键查看源码 文件上传测试 测试:需要上传php文件才能得到flag,但是只允许上传图片文件 思路:使用%00截断上传文件 流程:构造文件名为1.php.jpg的文件上传用burp抓包(如图): 修改文件名:在.php之后加上%00截断,进行url解码还原为空字符,提交得到flag 解码前:解码后: p:文件上传漏洞