标签:参与 ges 代码审计 入门 .com hack alt log get
解题链接: http://ctf5.shiyanbar.com/DUTCTF/index.php
原题链接:http://www.shiyanbar.com/ctf/54
【解题报告】
这是我入门Web开始写的第十一道题,这道题同样是道代码审计的题目,打开看下题面:
只有一行文字,后面跟了一个txt文件,说不定这个txt文件有玄机,我们去访问这个txt文件,果然如此,显示了页面的源码!!!
这是一段php代码,我们可以看这个当传入的参数为hackerDJ,会显示flag的值,我们可以试试看
不允许访问!!!我们重新审视下那段php代码,看到一段,要传入一个url编码的参数,这时候我们可以用到一个工具,小葵转码工具,我们可以进行url转码!!!
我们把这段代码输入试试看~~~
这个是浏览器的一个漏洞,浏览器会自动把url编码进行一次转义,所以我们应该把当前url编码再进行编码一次!
我们把这个二次转码的编码参数传进去试试看!
flag就顺利的拿到了!
标签:参与 ges 代码审计 入门 .com hack alt log get
原文地址:http://www.cnblogs.com/ECJTUACM-873284962/p/7857755.html