青少年ctf web 超简单 include01

最新推荐文章于 2023-06-08 11:12:33 发布
最新推荐文章于 2023-06-08 11:12:33 发布
阅读量374 收藏
点赞数 2
文章标签: 安全 web php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_69830800/article/details/131087129
版权

开题目

 

看看代码,是文件包含的题目

里面把参数是file

file里面一旦有flag字出现就寄了

所以,

我们直接使用data方案往里面传入恶意代码,并被当作文件被include包含并执行

url?file=data:text/plain;<?php phpinfo();?>

回车

 

然后ctrl+f查找就完事儿

飞与青云端
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[ACTF2020 新生赛]Include 1
qq_51553814的博客
08-01 1446
[ACTF2020 新生赛]Include 1 首先看题目信息有个关键字include,我们就应该能猜到这题的主要考点是文件包含 进入靶场 一进去,就让我们点击,那么我们就点击瞅瞅吧 果然不出所料,url上面显眼的‘file=’就是我们想要的文件包含漏洞 以开始以为flag在其他漏洞,我先用file=php//input,再Post传参 但是当url后面接上file=php://input时,就直接给我返回了hacker页面,看来服务器是对input过滤了 那么就换一个方式,先用file=php:/
青少年ctf擂台挑战赛 2024 #round 1
04-16
### 青少年CTF擂台挑战赛2024 Round 1知识点解析 #### 一、CTF概述与赛事背景 **CTF(Capture The Flag)**是一种网络安全技术比赛形式,参与者通常需要通过解决一系列安全相关的挑战来获取分数。本次青少年CTF...
青少年CTF-Web-CheckMe01
zxsctf的博客
10-09 1888
半颗星的简单题,CheckMe01启动题目,并访问。
[青少年 CTF] CheckMe01
piggcs的博客
04-03 172
分析该源码,我们需要传入字符串”qsnctf” 的 base64 加密字符串。“qsnctf” base64编码得到 “cXNuY3Rm”回到输入框输入cXNuY3Rm,有一个输入框,随便输入点什么。
青少年ctf nice cream ctf训练平台 文件包含 include
weixin_69830800的博客
06-08 282
$fp = fopen($_GET['files'],'r+'); if(preg_match("/php|file|http|eval|exec|system|popen|flag|\|\"|\'/i",$_GET['content'])){ die("hacker"); } fputs($fp,$_GET['content']); rewind($fp); $data=stream_get_contents($fp); include($data); ?>
2022年ctf强网青少年题目
09-16
2022年ctf强网青少年题目
ctf web解题 找flag夺旗赛概述、原理及应用.pdf
最新发布
05-13
### CTF Web解题 找flag夺旗赛概述、原理及应用 #### 一、概述 CTF(Capture The Flag,夺旗赛)是网络安全领域内一种极为流行的竞赛形式,尤其是在Web安全领域。这种竞赛模式旨在模拟真实世界的网络安全挑战,...
CTF Web各种题目的解题姿势
07-27
课时3:SQL Union注入原理与利用01'01'54 课时4:SQL注入布尔注入50'02 课时5:报错注入原理与利用29'27 课时6:CTF SQL基于约束注入原理与利用12'22 课时7:SQL注入基于时间注入的原理与利用50'13 课时8:SQL...
CTF Web解题大解密:如何找到神秘的Flag,成为夺旗赛的MVP
12-29
在网络安全的领域里,CTF(Capture The Flag)竞赛已经成为了一种检验技能和提升知识的重要方式,特别是Web解题部分,它将理论与实践紧密结合,让参赛者在寻找隐藏的Flag中体验到黑客攻防的乐趣。为了在CTF Web解题...
buuctf-web-[ACTF2020 新生赛]Include1
mlws1900的博客
07-27 849
对input,zip,phar协议进行了过滤,所以就是利用filter进行内容读取。链接有一个file传参,可以利用php//filter对文件内容进行读取。一看题目就是利用文件包含。同样base64解码一下。打开环境,点击tips。base64解码一下。...
[ACTF2020 新生赛]Include1
m0_63853512的博客
04-27 1165
第一个页面只给了一个连接,然后点进去。 第二个页面只有一句话,首先题目中就给出了include提示,然后看到连接中发现?file,直接可以确定为文件包含漏洞 使用php伪协议php://filter查看文件源码试试 ok有内容,然后将其解码看看 拿到flag ...
[ACTF2020 新生赛] Include1
旺仔Sec&blog
11-04 860
[ACTF2020 新生赛] Include1解析思路
BUUCTF-[ACTF2020 新生赛]Include1
qq_62875941的博客
12-26 556
本题主要考查的是php伪协议进行文件包含 进入本题之前先来认识一下常见的三种方法 1.php://filter 读取文件源码 2.php://input 任意代码执行 3.data://text/plain 任意代码执行 下面我们回到本题 打开链接,点击tips 首先考虑使用php://input任意代码执行 发现直接被题目过滤了 于是我们考虑使用php://filter读取文件源码的方法 构造playload ?file=php://filter/read=co...
buuctf-[ACTF2020 新生赛]Include 1(小宇特详解)
小宇的web博客
01-15 181
buuctf-[ACTF2020 新生赛]Include 1(小宇特详解) 点击tips 这里url是?file=flag.php 猜测是文件包含漏洞 这里构造payload ?file=php://filter/read=convert.base64-encode/resource=flag.php 将PD9waHAKZWNobyAiQ2FuIHlvdSBmaW5kIG91dCB0aGUgZmxhZz8iOwovL2ZsYWd7NjNlMmIyYzAtNWY5Mi00NjJlLWFkYmYtZTA
ctf 代码审计题目
10-21
CTF(Capture The Flag)是一种网络安全技术竞赛,旨在考验参赛者在网络安全领域的技能和知识。其中,代码审计题目是CTF比赛中的一种常见类型,要求参赛者对给定的代码进行分析和审计,找出其中的漏洞并进行利用,最终获取flag(标志性字符串)。 在代码审计题目中,参赛者需要对给定的代码进行仔细的分析,找出其中的漏洞和安全隐患。常见的漏洞类型包括但不限于SQL注入、XSS攻击、文件包含、代码执行等。参赛者需要通过对代码的深入分析和理解,找出其中的漏洞点,并进行相应的利用,最终获取flag。 举例来说,引用中的代码就是一道典型的CTF代码审计题目。参赛者需要对代码进行分析,找出其中的漏洞点。在这个例子中,代码中存在一个关键的if语句,其中$key变量的值需要等于一个特定的字符串才能输出flag。参赛者可以通过分析代码,找到这个特定的字符串,然后构造相应的请求,从而获取flag。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值