buuctf—[第一章 web入门]afr_2

最新推荐文章于 2023-08-21 09:54:56 发布
最新推荐文章于 2023-08-21 09:54:56 发布
阅读量805 收藏
点赞数 1
分类专栏: BUUCTF CTF 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52620919/article/details/120833005
版权
BUUCTF 同时被 2 个专栏收录
36 篇文章 0 订阅
订阅专栏
CTF
32 篇文章 8 订阅
订阅专栏

在这里插入图片描述
题目

查看源码:
在这里插入图片描述
访问一下这个目录
在这里插入图片描述
然后看大佬的文章说是目录穿越
然后找文章拜读了一下:

浅层次理解:

目录穿越:

Nginx反向代理,静态文件存储在/home/下,而访问时需要在url中输入files,配置文件中/files没有用/闭合,导致可以穿越至上层目录。(一个漏洞就出来了)嘿嘿

理解了,但又没有完全理解~

然后就往上级目录穿嘛
嘿嘿
在这里插入图片描述
flag就出来了

小常吃不下了
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AFR.zip_RP Java_afr 48a_cad java_java cad_them
09-19
A system that takes CAD drawings as input and apply automatic feature recognition methods on them to identify different features present in them. The feature will then populate in a tree in the system...
CTFer成长之路之任意文件读取漏洞
众生度尽,方证菩提
02-21 1128
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
[第一章 web入门]afr_2
qq_43618536的博客
07-24 596
[第一章 web入门]afr_2
目录穿越/遍历漏洞及对其防御方法的绕过
2301_77004573的博客
04-30 3507
目录穿越(目录遍历)是一个Web安全漏洞,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件。这可能包括应用程序代码和数据,后端系统的登录信息以及敏感的操作系统文件。目录穿越不仅可以访问服务器中的任何目录,还可以访问服务器中任何文件的内容。例如,攻击者通过浏览器访问…/…/…/…/…/…/…/…/…/…/…/…/…/…/etc/passwd(此处较多…/),就可以读取Linux服务器根目录下的etc目录下的passwd文件的内容。
web安全之目录穿越
weixin_54584489的博客
04-13 2488
目录穿越(又称目录遍历diretory traversal/path traversal)是通过目录控制序列 ../ 或者文件绝对路径来访问存储在文件系统上的任意文件和目录的一种漏洞。
ctfhub afr-2
weixin_63810302的博客
09-28 948
ctfhub afr-2
ctf之WEB练习二
渗透测试研究中心
12-15 7836
题目名称:从0到1CTFer成长之路-Web文件上传题目wirteup:启动题目场景,获得题目靶场,访问网站,发现是一个文件上传漏洞,并且源代码也显示出来。http://eci-2zead4wngyl8hacgmm4n.cloudeci1.ichunqiu.com/ 源代码大概如下分析:<?phpheader("Content-Type:text/html; charset=utf-8")...
afr_2
weixin_45711265的博客
01-09 321
buuctf N1book ok,让我们继续看看 buuctf N1book afr_2 打开靶机发现一张gif,查看源代码“img/img.gif",利用ls查看: /img…/ 发现flag文件,记事本打开得到n1book{afr_2_solved}
C#人脸识别+虹软AFR_FSDK_Demo_仅供项目实战学习
07-10
使用到的虹软的SDK包中,提供了人脸识别的库,它的名字叫face_recongnition.dll,我们找到它的SDK文档。 来建立各个结构体和API的C#映射...这个结构体是FD识别的输出结构体,我们在上一章节标记人脸时使用了此结构体。
HA_AFR20_gnatix
03-04
快速查找工具HA_AFR20_gnatix
AFR for asymmetric fixture.pdf
06-18
S参数切割工具,AFR小工具算法分析以及针对非对称S参数的计算推导
AFR自动夹具移除校准方法的原理
08-28
自动端口延伸是一种对夹具的损耗和时延进行补偿的简单方法,可以处理单端口夹具。另一种补偿PCB或其他夹具损耗的常用方法是:制作一个跟DUT夹具一样 的测试夹具,但提供一个直通连接。最简单使用直通夹具进行补偿的...
BUUCTF[第一章 web入门]afr_2
hivjianxian的博客
11-22 817
ctf题解
BUUCTF-N1BOOK-Web-afr_1 and afr_2
m0_47154926的博客
10-10 1749
根据题目 任意文件读取漏洞 发现参数p p=hello直接 p=flag 利用php://filter构造本题payload php://filter/convert.base64-encode/resource=flag 得到base64编码,进行解码 得到flag n1book{afr_1_solved} 查看网页源代码 发现img.gif在文件夹img里,访问img 发现…/ 想到目录穿越 参考:目录穿越 直接访问 下载,得到flag ...
《从0到1:CTFer成长之路》afr_2
ZhShy
01-15 367
文章目录靶场:afr_2 靶场:afr_2
BUUCTF [第一章 web入门]afr_2
woshicainiao666的博客
08-21 103
【代码】BUUCTF [第一章 web入门]afr_2。
N1Book-第一章Web入门-任意文件读取漏洞-afr_2
抒情诗
05-08 658
由于Nginx配置不当产生了目录穿越漏洞。本题使用的是OpenResty,而OpenResty是基于Nginx与Lua实现的,所以Nginx存在的漏洞,OpenResty同样也可能存在。而且这不是代码里面的漏洞,配置漏洞的话大概率是被放在危险性比较低的位置上的。
使用工具【ZipCenOp.jar】自动修复zip伪加密文件
热门推荐
weixin_52620919的博客
09-19 1万+
1.用010检查zip压缩包,发现压缩包文件是伪加密,但是找不到要修改伪加密的地方 2.查了很多资料,最后用大佬给的工具【ZipCenOp.jar】修复了压缩包 在这道题,我觉得思路是,在普通的伪加密上把文件修改过,以至于可以理解为文件损坏 展现出来的结果就是,能看出来它是伪加密,但是你找不到去除掉伪加密的地方 所以,这个时候就用这个ZipCenOp.jar工具来对损坏的文件进行修改 让它直接修复文件并且直接去除伪加密的状态 然后压缩包内的东西就出来了 具体这个工具的使用:##ZipCenOp.jar下
AFR_FSDK_FACEMODEL
最新发布
11-10
AFR_FSDK_FACEMODEL是虹软人脸识别SDK中的一个结构体,用于存储人脸特征数据。该结构体包含两个成员变量:pbFeatur和FeaturSiz。其中,pbFeatur是一个指向人脸特征数据的指针,FeaturSiz是人脸特征数据的长度。通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值