CTF-BUUCTF-[极客大挑战 2019]Secret File

最新推荐文章于 2023-12-16 21:21:54 发布
最新推荐文章于 2023-12-16 21:21:54 发布
阅读量2.2k 收藏
点赞数 1
分类专栏: CTF 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49734406/article/details/122214763
版权

BUUCTF-[极客大挑战 2019]Secret File
题目连接:https://buuoj.cn/

又是学习的一天,啦啦啦

题目链接打开后发现是个这玩意,谁知道蒋璐源的密码是啥?
在这里插入图片描述
一般思路,源码,cookie,敏感文件。
在源码中发现个PHP,打开看看
在这里插入图片描述
发现个页面,可以点击,
在这里插入图片描述
点击后进行了跳转,太快了,没看清
在这里插入图片描述
用bp抓包,进行点击,
抓到后,发送到Repeate模块,点击发送
在这里插入图片描述
返回一个php文件,我们访问看看

看样子是叫我们用get提交一个file参数,并且提示flag在flag.php里
使用包含…/ tp input data 的参数会被拦截
根据题目名和include猜测是文件包含
先试试php伪协议,php://input
在这里插入图片描述在这里插入图片描述

在这里插入图片描述
尝试了其他的命令,不行,
试试filter
在这里插入图片描述
?file=php://filter/read=convert.base64-encode/resource=flag.php
在这里插入图片描述
读到了文件,
这个方法是以base64返回的,所以需要解码,
在这里插入图片描述
解码得到flag

好好学习,天天向上。

@向上
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF [极客挑战 2019]Secret File
m0_49025459的博客
04-27 2760
题目 查看网页源代码 <!DOCTYPE html> <html> <style type="text/css" > #master { position:absolute; left:44%; bottom:0; text-align :center; } p,h1 { cursor: default; } </style>
[极客挑战 2019]Secret File
weixin_46133275的博客
07-07 535
1.打开题目链接,乍一看没有看到可疑的地方,打开开发者工具查看网页源代码,发现网页中有一个<a>标签,目标链接为./,可以看到需要传输一个file参数,并且提示代码放在了flag.php里,尝试提交flag.phpfile参数。页面,发现SECRET带下划线(直觉告诉我是超链接),查看源代码,同样是<a>标签,链接地址为./通俗来讲,当我们遇到php文件包含的时候,可以考虑使用php://filter来读取php的代码。7.得到一串base64编码,使用在线解码网站进行解码,解码后就可以看见flag了。
BUUCTF之[极客挑战 2019]Secret File--------文件包含和密码文件
weixin_44632787的博客
06-13 1000
  BUUCTF之[极客挑战 2019]Secret File--------文件包含和密码文件 启动我们的项目,看到挑战的页面 右键查看网页的源代码   看到一个可疑的链接,我们访问它:./Archive_room.php。然后出现以下新的页面,我们根据提示访问它看看会出现什么…   啊啊啊???什么?就没别的提示了吗?   不急,我们看看源代码。好吧源代码什么也没有。但是根据上一个页面的提示:**没看清楚?回去再仔细看看吧。**这句话很可疑,是不是提示我们说那里有个重定向,导致页面跳转的太快所
[极客挑战 2019]Secret File(BUUCTF)
HackerYY的博客
12-30 1065
BUUCTF找秘密水题 内附解题过程
[极客挑战 2019]Secret File 1(详细版)
qq_61861243的博客
09-25 505
1、首先进入靶机没发现啥有用的信息 ,我查看一下网站的源码看看有没有啥有用的信息,发现了一个Archive_room.php。2、我们点击Archive_room.php进行访问,然后我进入到页面,发现一个有提示secret(秘密)的按钮3、点击一下secret,进入到一个新的页面,。4、根据进入的页面提示,我们想到可能是页面跳的太快,这里我们用bp抓一下包,发现一个secr3t.php5、将secr3t.php 直接加在网站后面,发现了有关flag的信息,一个flag.php文件。
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF-网络挑战
03-02
本项目只是对历届CTF开源的网站 申明 由于本人重新向出题人申请重新对过渡进行修改发布的权利,但对每个题均标明了出处,如涉嫌犯罪,立马致歉删除。 对于部分没找到flag的翻译,会自己随便添加 对已提供Dockerfile...
CTF-Tools-v1.3.7.zip
最新发布
01-29
CTF常用工具集
BUUCTF Web [极客挑战 2019]Secret File
热门推荐
wangyuxiang946的博客
10-27 1万+
「作者主页」:士别三日wyx   此文章已录入专栏《网络攻防》,持续更新热门靶场的通关教程 「未知攻,焉知收」,在一个个孤独的夜晚,你完成了几百个攻防实验,回过头来才发现,已经击败了百分之九十九的同期选手。 [极客挑战 2019]Secret File一、题目简介二、思路分析1)信息泄露2)文件包含三、解题步骤1)查看网页源代码2)拦截请求,查看响应信息3)文件包含漏洞4)PHP伪协议读取文件内容四、总结 一、题目简介 进入链接以后是一个「文字」页面,没有什么特别的功能 二、思路.
web-[极客挑战 2019]Secret File
wojiushilsy的博客
04-19 930
题目要点题目内容解题 题目要点 PHP伪协议 题目内容 解题 打开页面,F12查看源码,发现一个新页面。访问一下 点一下跳到另一个页面 拦截,发现 访问secr3t.php,发现一段源码 <html> <title>secret</title> <meta charset="UTF-8"> <?php hi...
[极客挑战 2019]Secret File 解题思路
weixin_61970418的博客
12-16 392
这时候就想到使用文件包含进行读取文件,在secr3t.php进行包含,出现了一串很长的base64代码。访问是有一个可以点击的界面,顺势点击,到了end.php的界面,end.php的源代码也没有什么东西。出现新路径secr3t.php,直接访问一手看看,提示我们flag放在了flag.php里。的源代码也是跳转到end.php,使用burp抓包进行访问。的路径,访问后直接跳转到end.php界面,访问。老规矩,右键页面源代码,找到。再访问一手flag.php,的源代码界面,里面还有一个。
每天一道ctf
whisper921的博客
10-28 842
有这样一行代码
Secret File
weixin_46580614的博客
07-16 146
打开之后的界面是 审查元素 之后有个跳转页面 直接跳转 然后 真狗 继续跳转 结果没看明白 尝试bp抓包试一下 发现 有东西 看到代码 进行分析 <html> <title>secret</title> <meta charset="UTF-8"> <?php highlight_file(__FILE__); error_reporting(0); $file=$_GET['file']; if(
BUUCTF系列 // [极客挑战 2019] Secret File
qq_45805420的博客
09-25 461
前言 本题知识点:PHP 文件包含漏洞 & 利用网页背景隐藏信息 WP 进入题目页面,乍看没有什么明显的思路,查看网页源代码,发现源码中出现了部分在页面中被隐藏了的信息,这才意识到了出题者的心思 这个小技巧原理并不复杂,主要是在前端中利用网页的背景颜色来覆盖相同颜色的内容,使得相关信息肉眼不可见,初次相遇确实不易 Get 到思路,可以通过全选页面内容的方式,使所有的信息展现出来 点击隐藏信息,题目跳转到了一个新的页面 尝试点击SECRET按钮,网页再次跳转 根据该页面的信息判断,SECRET
[极客挑战 2019]BuyFlag
07-29
- *2* *3* [CTF学习笔记——[极客挑战 2019]BuyFlag](https://blog.csdn.net/Obs_cure/article/details/113820888)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值