url却是end.php,这里很明显进行了跳转,所以我们必须访问到action.php才可以 使用命令curl命令可以获取该页面的源代码,curl是不受302跳转的影响 通过注释可以看到,还存在一个secr3t.php的文件 访问该文件 这是一个文件包含页面,最后使用include包含了我们的file传参,并告诉我们flag就在flag.php文件中 这里直接包含flag...
简介: [极客大挑战 2019]Secret File1 1.点开题目链接,页面提示如下 2.ctrl+u查看源码,页面中有一个可以跳转的网址 3.点入网址,出现如下页面 4.接着点击按钮,页面回显如下 5.在做web题的时候,一般像出现什么提交信息,点击按钮之类的,都会用到bp抓包 6.接下来我们使用bp抓包工具 7.右键点击红色框框的内容 ...
看到了简单的php代码,和之前提到的include文件包含。 传入file=flag.php试试。 它说我们看不到它 使用之前题目的知识点,php伪协议。 base64解码得到flag。
查看源码得到Archive_room.php转到Archive_room.php点击SECRET后跳转到end.php,没有找到有用的信息。 burpsuite抓包,重放可得访问secr3t.php得到源码 看到file与include,尝试伪协议读取flag.phppayload [极客大挑战 2019]Secret File [极客大挑战2019]SecretFile题解 这个题还是挺简单的。。。以此作为一个记录吧 打开主...
BUUCTF——[极客大挑战 2019]Secret File 1 技术标签: CTF php 信息安全这道题其实“很简单”,鹅鹅鹅,这道题其实刚看的时候我以为是扫目录之类就能出成绩的,后来发现,唉,还是太年轻了,鹅鹅鹅,其实这道题到最后还是代码审计,只不过出题人很狗,他创造了剧情的伪造,所以导致很多人找不到正确的php文件,好了,...
secret <?php highlight_file(__FILE__); error_reporting(0); $file=$_GET['file']; if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){ echo "Oh no!"; //如果file包含这些字符串...
简介:[极客大挑战 2019]Secret File一、题目简介二、思路分析1)信息泄露 [极客大挑战 2019]Secret File 一、题目简介 二、思路分析 1)信息泄露 2)文件包含 三、解题步骤 1)查看网页源代码 2)拦截请求,查看响应信息 3)文件包含漏洞 4)PHP伪协议读取文件内容 ...
[极客大挑战 2019]Secret File 1,有内容但是flag没有显示出来,猜测flag是被编码了,需要用到PHP伪协议,但是不知道具体参数是什么,lag.php。这里猜测还有隐藏文件。访问flag.php。
file=php://filter/read=convert.base64-encode/resource=flag.php 将代码用64base解码后就能得到flag√ 今天又学了一些burp的用法~一开始放包丢包都分不清,一言不合就drop,还傻了吧唧问学长怎么回事网页报错... 罢了罢了,忘掉忘掉
[极客大挑战 2019]Secret File 1 题目环境: image.png 网页什么都没有,GET那里也没有任何参数和文件 F12查看隐藏文件 image.png 发现隐藏文件 点进去看看 image.png 发现一个可点击按钮 SECRET image.png 好家伙,什么都没有 这里猜测还有隐藏文件目录扫描使用工具dirsearch 命令:python dirsearch.py -u [http://...