打开靶场,还是一个啥功能点都没有的界面
老规矩,右键页面源代码,找到./Archive_room.php这个路径
访问是有一个可以点击的界面,顺势点击,到了end.php的界面,end.php的源代码也没有什么东西
回到最早的./Archive_room.php的源代码界面,里面还有一个./action.php的路径,访问后直接跳转到end.php界面,访问action.php的源代码也是跳转到end.php,使用burp抓包进行访问
出现新路径secr3t.php,直接访问一手看看,提示我们flag放在了flag.php里
再访问一手flag.php,
这时候就想到使用文件包含进行读取文件,在secr3t.php进行包含,出现了一串很长的base64代码
file=php://filter/convert.base64-encode/resource=flag.php
将这串代码放入在线base64解码器中,得到flag。