N1BOOK第五关摸鱼:[第一章 web入门]afr_2

最新推荐文章于 2024-08-20 10:53:37 发布
最新推荐文章于 2024-08-20 10:53:37 发布
阅读量2k 收藏 7
点赞数 1
分类专栏: CTF题目 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45571987/article/details/110474990
版权

BUUCTF:[[第一章 web入门]afr_2

打开页面,寻找解题线索

  页面里只有一个hello和一个gif图片,习惯性地打开源代码看看。
  发现这边的gif图片在img文件夹中
在这里插入图片描述

查看目录并进行目录穿越

查看img目录

  在url后面输入/img,成功查看img目录
在这里插入图片描述

进行目录穿越

  在原来的url后面加上img../
  然后我们就进入到了根目录下,在最下方有一个名为flag的文件,点击它就会自动跳转下载
在这里插入图片描述

拿到flag

  下载了flag文件后用记事本打开即得到flag(跟第四关的flag居然就差一个数字)

n1book{afr_2_solved}

在这里插入图片描述

原理Nginx错误配置产生穿越漏洞

  Nginx错误配置可能产生目录穿越漏洞,比如:

location /static {
    alias /home/myapp/static/;
}

  由于static后没有加/,如果用户请求/static…/,拼接到alias进会变成/home/myapp/static/…/会穿越到myapp目录

MR.QQQQIU
关注
专栏目录
AFR.zip_RP Java_afr 48a_cad java_java cad_them
09-19
A system that takes CAD drawings as input and apply automatic feature recognition methods on them to identify different features present in them. The feature will then populate in a tree in the system...
0到1 ctfer :afr_2 :Nginx目录穿越漏洞
Zeker62的博客
08-31 738
参考:https://www.cnblogs.com/yuzly/p/11212078.html Nginx匹配到路径files后,把后面的内容加到/home/的后面,就成了/home/../ 防御方法就是: 在/files后面加/,形成/files/,这样URL访问/files../,home后面就是有两个/,形成/home//../ 或者在home后面加/也可以 打开靶场: 观察到一个目录,...
BUUCTF [第一章 web入门]afr_2
woshicainiao666的博客
08-21 153
【代码】BUUCTF [第一章 web入门]afr_2。
[CTF夺旗赛] BUUCTF N1BOOK 第一章 web入门
最新发布
Da1NtY的博客
08-20 785
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。BUUCTF是一个很好的CTF训练平台,这里介绍的是N1BOOK部分的第一章,后续会陆续更新。
ctfhub afr-2
weixin_63810302的博客
09-28 1060
ctfhub afr-2
N1Book-第一章Web入门-任意文件读取漏洞-afr_2
抒情诗
05-08 757
由于Nginx配置不当产生了目录穿越漏洞。本题使用的是OpenResty,而OpenResty是基于Nginx与Lua实现的,所以Nginx存在的漏洞,OpenResty同样也可能存在。而且这不是代码里面的漏洞,配置漏洞的话大概率是被放在危险性比较低的位置上的。
[第一章 web入门]afr_2
qq_52963704的博客
03-16 1218
[第一章 web入门]afr_2—个人写题日记 打开网页,发现是只有一个img图片 查看网页源码,可以发现图片img的路径,结合题目描述,可以知道这是一个任意文件读取漏洞 打开img.gif所在的目录 使用../返回到当前目录的上层目录 最后打开flag文件,下载后得到flag ...
C#人脸识别+虹软AFR_FSDK_Demo_仅供项目实战学习
07-10
使用到的虹软的SDK包中,提供了人脸识别的库,它的名字叫face_recongnition.dll,我们找到它的SDK文档。 来建立各个结构体和API的C#映射...这个结构体是FD识别的输出结构体,我们在上一章节标记人脸时使用了此结构体。
计算机网络课件:第四章 局域网基本工作原理2.ppt
06-28
1. **交换机结构**:包括多个端口,每个端口都有独立的缓存,用于临时存储数据帧,以及一个控制模块来决定数据帧的转发路径。 2. **工作原理**:交换机通过地址映射表来确定数据帧的目的地。当数据帧进入交换机时,...
光纤通信系统课件:13第七章 光波分复用技术.ppt
06-26
在WDM系统中,各个光通道的中心工作频率由绝对频率参考(AFR)确定,如G.692建议的193.1THz(对应波长1552.52nm),并以此为基础设定通道间隔。常见的通道间隔为100GHz,这有助于避免四波混频效应并优化系统性能。 ...
AFR1:改写AFR
03-19
"AFR1:改写AFR"这个标题可能指的是一个特定的VBA项目或模块,其目标是对"AFR"(可能是“非洲”、“空气燃料比”或其他特定术语的缩写)进行重新设计或优化。描述中提到的同样内容,进一步确认了这是一个AFR的VBA...
HA_AFR20_gnatix
03-04
快速查找工具HA_AFR20_gnatix
AFR自动夹具移除校准方法的原理
08-28
AFR(Automatic Fixture Removal,自动夹具移除)校准方法是电子测量领域中用于精确测量电路或设备(DUT,Device Under Test)性能的一种键技术。这种方法主要用于补偿测试夹具,如PCB或其他连接器,引入的信号...
afr-example-weather-station:该示例演示了使用Amazon FreeRTOS的IoT库实现气象站的实现
03-18
适用于PSoC 6 MCU的AWS IoT和FreeRTOS:气象站 本示例演示了使用PSoC:registered:6 MCU和ModusToolbox:registered:FreeRTOS SDK的AWS IoT Weather Station。... IAR C / C ++编译器v8.42.2( IAR ) 支持的套件 ( C
AFR for asymmetric fixture.pdf
06-18
自动夹具移除(AFR)技术用于去除印刷电路板(PCB)或封装上不希望的夹具效应,以获取I/O缓冲器处的纯净抖动水平。随着数据速率的提高和允许的抖动水平的降低,准确地表征和去除这些夹具变得越来越重要。当前,使用...
HMA81GS7AFR8N_SPD(Rev1.0).pdf
06-11
根据提供的文件信息,本文将详细介绍SK Hynix生产的一款DDR4 SDRAM内存条的具体型号HMA81GS7AFR8N-TF/UH的SPD(Serial Presence Detect,串行存在检测)信息。SPD是内存条上存储的一系列数据,用于描述内存条的规格...
CTF之Web_php_wrong_nginx_config
qq_74263993的博客
04-04 750
hint.php告诉我们:配置文件也许有问题呀:/etc/nginx/sites-enabled/site.conf。file=./..././..././..././..././etc/passwd&ext==php绕过。将爆出来的东西整理一下,发现location /web-img开启了目录浏览 autoindex on;先对网站进行目录扫描,发现/admin/和/robots.txt。因此 alias 后面的路径是从系统根目录开始的 所以加一个../在/var/www下找到了。
详解nginx的root与alias
Stephen_CY666的博客
11-18 5744
指令作为Nginx中最基本的指令之一,对于配置Web服务器非常重要,需要注意其区别与使用规则。指令指定的是实际文件存储位置,它指定的路径是将URL的字符串替换为实际路径。指令都可以用来指定Web服务器中的文件根目录。不过,它们之间有一些键的区别。指令指定的是服务器根目录,是用于处理HTTP请求时所使用的默认根目录。需要特别注意的是,使用。
CTF-WEB总结(四-题目来源i春秋)
weixin_41038905的博客
05-07 5488
Web总结: 1.网页源代码查看 即使浏览器不设置 直接访问此链接也可以看到原代码,后来发现其他网页也是如此, 所以破解方法有三个 一个是直接F12查看元素可以看到 一个是设置浏览器闭js 一个是直接在链接前加view-source    注意看原代码的链接:view-source:http://159.138.137.79:55803/ 2.直接在链接后加/robots.txt,这边记录了爬虫...
AFR_FSDK_FACEMODEL
11-10
AFR_FSDK_FACEMODEL是虹软人脸识别SDK中的一个结构体,用于存储人脸特征数据。该结构体包含两个成员变量:pbFeatur和FeaturSiz。其中,pbFeatur是一个指向人脸特征数据的指针,FeaturSiz是人脸特征数据的长度。通过将人脸图像输入到虹软人脸识别SDK中,可以得到一个AFR_FSDK_FACEMODEL结构体,该结构体中存储了该人脸的特征数据。在进行人脸比对时,只需要将两个人脸的特征数据进行比对即可。\n\
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值