标签:观察 服务器端 ctf clu index ack 第一题 链接 tps
起初我是不想写这个新生赛的,因为感觉太简单了,写的话没有什么必要,也没有人看,但是之前一直爆肝一些难度比较大的题目,肝的头疼,所以就随便写一下缓解一下。
打开界面,看到 如下,发现我们不能读取flag.php观察url;;;直接php伪协议走起;
?file=php://filter/convert.base64-encode/resource=flag.php 解码直接出来flag;
打开页面,看到如下界面,发现是ping,如果服务器端的代码没有对我们传入的内容进行过滤的话,就有可能造成任意的命令执行,这道题,直接 ;ls 进行目录读取,然后 ;cat /flag
我们看到是要找备份文件,直接 index.php.bak 下载后 简单看看代码,然后再url出输入?key=123 回车直接出来flag
一个文件上传的题目,发现是前端过滤,打开f12,发现有个check函数,删除它,然后上传一个phtml的文件,里面写上木马,然后菜刀链接就好,或者hackbar直接post执行就好。
标签:观察 服务器端 ctf clu index ack 第一题 链接 tps
原文地址:https://www.cnblogs.com/Wanghaoran-s1mple/p/12465300.html
