1. 题目让我们去找秘密,第一反应是检查源代码 发现一个Archive_room.php,点击看看: 出现了一个点击按钮,点击后如下: 除此之外没有别的线索了 2. 我们依据提示回到上一个页面抓包 发现了一个新的php,进去得到了如下代码: secret <?php highlight_file(__FILE__); error_reporting(0); $file=$_GET[...
题目的名字就暗示我们考点文件隐藏进入页面查看源码 得到隐藏的界面点击访问 点击给的“SECRET”按钮页面出现提示“没看清么?回去再仔细看看吧。”,说明响应的时间太快了,还没反应过来,于是我们想到使用burp suit进行抓包 图片中给了“secr3t.php”提示,于是我们转到提
简介: [极客大挑战 2019]Secret File1 1.点开题目链接,页面提示如下 2.ctrl+u查看源码,页面中有一个可以跳转的网址 3.点入网址,出现如下页面 4.接着点击按钮,页面回显如下 5.在做web题的时候,一般像出现什么提交信息,点击按钮之类的,都会用到bp抓包 6.接下来我们使用bp抓包工具 7.右键点击红色框框的内容 ...
BUUCFTF:[极客大挑战 2019]Secret File 题目地址:https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]Secret%20File 抓包 访问secr3t.php 直接伪协议读取flag.php /secr3t.php?file=php://filter/convert.base64-encode/resource=flag.php 1. PS C:\Users\Adm...
secret <?php highlight_file(__FILE__); error_reporting(0); $file=$_GET['file']; if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){ echo "Oh no!"; //如果file包含这些字符串...
一、下载安装JDK,并配置好环境变量。 1、下载地址:https://www.oracle.com/java/technologies/javase-jdk8-downloads.html 如图所示,下载安装适合自己电脑的版本即可 (在下载这一步它提示我需要有自己的Oracle账户,因此我注册了一个,记得一定要下载到自己能找到的地... ...
[极客大挑战 2019]Secret File 1,有内容但是flag没有显示出来,猜测flag是被编码了,需要用到PHP伪协议,但是不知道具体参数是什么,lag.php。这里猜测还有隐藏文件。访问flag.php。
绝密档案,点击SECRET直接跳转到end.php,刚开始一头雾水,后来意识到问题可能出在重定向哪里。 绝密档案 看到了隐藏文件secr3t.php secr3t.php secr3t.php的内容是一段代码审计,读取file参数,显示读取路径的文件,此处用了include函数是一个文件包含。 secret<?php highlight_file(__FILE__); error_reporting(0)...
Web类,[极客大挑战 2019]Secret File 打开题目的实例 思路 看到这种题目,首先到处点一点,看看有什么奇怪的地方,然后打开源代码,差不多就是这样,不过我无意中拖动鼠标选择文字的时候,找到了一个东西 不过你这里能够找到,源代码里面肯定也能,不信打开试一下便知 ...
[极客大挑战 2019]Secret File 1 大小写版本 要GET一个file参数过去,但是不能含有…/、tp、input、data,包括这些的大小写。不含有这些的话就会包含file指定的文件,php://伪协议 php://filter可以使用 尝试/secr3t.php?file=php://filter/read=convert.base64-encode/resource=flag.php 得base64密文,解密 bu...