BUUCTF:[[第一章 web入门]afr_2
打开页面,寻找解题线索
页面里只有一个hello和一个gif图片,习惯性地打开源代码看看。
发现这边的gif图片在img文件夹中
查看目录并进行目录穿越
查看img目录
在url后面输入/img,成功查看img目录
进行目录穿越
在原来的url后面加上img../
然后我们就进入到了根目录下,在最下方有一个名为flag的文件,点击它就会自动跳转下载
拿到flag
下载了flag文件后用记事本打开即得到flag(跟第四关的flag居然就差一个数字)
n1book{afr_2_solved}
原理Nginx错误配置产生穿越漏洞
Nginx错误配置可能产生目录穿越漏洞,比如:
location /static {
alias /home/myapp/static/;
}
由于static后没有加/,如果用户请求/static…/,拼接到alias进会变成/home/myapp/static/…/会穿越到myapp目录