buuctf-web-[极客大挑战 2019]Secret File

最新推荐文章于 2024-06-28 14:45:47 发布
最新推荐文章于 2024-06-28 14:45:47 发布
阅读量219 收藏
点赞数
分类专栏: web 文件包含
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46079186/article/details/118380479
版权

1.打开网页
在这里插入图片描述2. 查看源代码,发现一个 Archive_room.php
在这里插入图片描述

  1. 进入Archive_room.php
    在这里插入图片描述

  2. 点击secret 里面进入end.php,里面啥也没有发现,查看查看Archive_room.php源代码,发现Action.php,打开Action.php 网页会自动跳转到end.php 网页,这里肯定有东西,我们使用burp 看看
    在这里插入图片描述

  3. 使用burp 抓包看看,在action.php 网页发现secr3t.php
    在这里插入图片描述

  4. 我们使用网页打开这个secr3t.php
    在这里插入图片描述

  5. 这就简单了,file 参数,传输条件不能带 “…/”、“tp”、“input”、“data”,提示flag在flag.php
    使用 ?file=flag.php
    在这里插入图片描述

  6. 查看了一下源代码也没发现什么,以我单身多年的经验,这题应该要base64 输出一下
    传入参数:?file=php://filter/read=convert.base64-encode/resource=flag.php
    在这里插入图片描述9. 解码一下,拿到flag
    flag{32f923d3-7110-499b-9e3c-085855df75e4}
    在这里插入图片描述

~ Venus
关注
专栏目录
BUUCTF__[极客挑战 2019]Secret File_题解
风过江南乱的博客
05-18 1253
一、前言 这题真的算简单题了,自己也能很快做出来,不错,终于有一题能自己做出来了。 晚上写完上一篇,看到这题很简单也就简单的写一下。 二、看题 拿到题目 还是 F12 大法。 发现了一个 action.php,访问看看 ???查阅结束,可什么也没有啊,再回去,再访问,果然有问题 url 里的是 end.php,可是我们点击访问的是 action.php 有猫腻,可能被重定向了,抓个包看看。果然有东西。 的确被重定向到了 end.php。而且得知 secr3t.php
[BUUCTF007][极客挑战2019]Secret File
m0_52674595的博客
12-21 166
[BUUCTF007] [极客挑战2019]Secret File 打开先看网页 直接查看源码 发现出现一个名为Archive.room.php的文件 访问 点击中间的SECRET按钮 跳转出出现查阅结束??? 可是什么都没有看到啊! 于是返回Archive.room.php的界面查看源码 发现跳转至名为action.php的页面 但是查看之前跳转的画面,发现是end.php 所以我们并没有捕捉到action.php的画面 直接查看action.php的源码 发现其会直接跳转至end.php 所以我们直
JAVA 图片URL地址转Byte文件流
m0_37834614的博客
05-22 7163
图片URL地址转Byte文件流 /** * 得到文件流 * @param url 图片地址 * @return */ public static byte[] getFileStream(String url){ try { URL httpUrl = new URL(url); HttpURLConnection conn = (HttpURLConnection)httpUrl.ope
base64说明
极客剑
11-13 891
BUUCTF刷题记录】Secret File1
m0_60911102的博客
09-17 308
快来一起看jiangluyuan的秘密/手动狗头
Base64编码解码工具.exe
10-23
Base64编码解码工具.exe
Base64编码解码工具V1.5
12-02
选择编码中BASE64 选项就可解码,解码后会消除乱码
BUUCTF-WEB
ccfly1012的博客
11-02 3896
目录 [HCTF 2018]WarmUp [极客挑战 2019]EasySQL 总结万能密码 [极客挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
BUUCTF--WEB
最新发布
书山有路勤为径,学海无涯苦作舟
06-28 1285
可以猜测,这个输入框是搜索当前数据库里的表id号应该,回显得数据就是表words里的两个字段id和data,但是我们flag在当前数据库的。他的后端既然能做到数字回显字母不回显,说明有一个 或 结构,而且不直接回显flag,但作为一道题目,from一定是from flag。mb_substr($page,n,m):返回page中从第n位开始,到n+m位字符串的值。再跳转到新的页面什么也没有就结束了,所以在这个页面,我们请点击抓包,就能发现他的秘密。内联函数:将指定的函数体插入并取代每一处调用该函数的地方。
BUUCTF web 极客挑战 2019
菜的只能随便写写博客
04-01 1807
0x01 Secret File  在源码之中得到一个php页面  后面页面之中  根据提示抓包,在其中返回的页面得到了信息  得到源码,根据源码,发现存在文件包含漏洞  利用php伪协议,获取flag.php的信息,拿取flag payload: ?file=php://filter/read=convert.base64-encode/resource=flag.php EasyS...
微信小程序base64 Aes加解密
07-24
微信小程序前端加密,Base64,Aes加密等,亲测可用,附带使用方法
BASE64编码转换工具
10-27
包含字符转BASE64编码、十六进制转BASE64编码。以及互转
Base64在线转换工具(详解)
热门推荐
ambiguous__的博客
09-01 5万+
1.项目背景: 在计算机中一个字节共有256种,即ascii码表,而ascii码的128~255之间的值是不可见字符,对于一些只支持可见字符的协议,比如邮件传输协议(SMTP)只支持可见的ASCII字符的传递,如果要传输二进制文件,比如:图片、视 频是无法实现的,因此就有了base64编码格式,Base64编码格式对于所有二进制格式的数据,都可以转化为可显 示的字符。base64的应用场景非常多,比如: 在网络上交换数据时,比如说从A地传递到B地,往往要经过多个路由设备,由于不同的设备对字符的处理方
极客】神器——常用的一些小工具
方小块的博客
05-13 1万+
整理一些常用的小工具,方便自己用1.everything 搜索神器  网盘地址:https://pan.baidu.com/s/1ZvaWcWEFJpZHGw3o3_gWSA不占内存仅有1m左右,搜索速度极快,远超win系统自带的搜索功能;2.fiddler      抓包工具  官网链接:https://www.telerik.com/fiddler方便的抓取对于微信或者app的一些页面和接口;...
工具--- base64网页解码
weixin_34034261的博客
07-29 979
http://base64.xpcha.com/
base64开源库介绍及使用
网络资源是无限的
12-22 8669
网上有一些开源的base64编解码库的实现,下面介绍几个: cppcodec是一个仅包括头文件的C++11库,用于编解码RFC 4648中指定的base64, base64url, base32, base32hex等,它的License为MIT,源码在https://github.com/tplgy/cppcodec ,最新发布版本为v0.2,在windows下需要vs2015及以上才可以正常...
Base64工具类Base64Util
小羽的博客
08-13 1万+
需要的依赖包 <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-lang3</artifactId> <version>3.3.1</version> </dependency> 直接上工具类...
ctf.show-web-1000题
weixin_46079186的博客
12-07 5936
信息收集 爆破 命令执行 文件包含 php特性 文件上传 sql注入 反序列化 java 代码审计 phpCVE XSS nodejs jwt SSRF SSTI XXE 区块链安全 黑盒测试
极客挑战2019secret file
03-16
极客挑战2019Secret File是一个神秘的文件,里面可能包含了一些重要的信息或者任务。参赛者需要通过各种技能和智慧来解密这个文件,完成挑战。这是一个非常有趣和刺激的比赛,可以锻炼参赛者的思维能力和团队...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值