web:[ACTF2020 新生赛]Include

sleepywin2023-09-22 9:22

前提知识

文件包含漏洞

php伪协议

题目

点开题目,页面只显示一个tips,点进去看看

点进去之后

没有别的提示,先看源代码,恩,什么都没有

再看一下点进tips显示的页面,发现url中

flag可能就藏在这个页面中,但是被隐藏了看不见

题目名为include,可以联想到文件包含漏洞

构造payload

复制代码 
http://83e3f0ce-775a-4dc5-b714-d5d5bfc15cd8.node4.buuoj.cn:81/?file=php://filter/read=convert.base64-encode/resource=flag.php

显示为

base64解码得,即得到flag

总结

提示信息也要包括题目名

相关推荐
持敬chijing1 小时前
Web渗透之SQL注入-宽字节注入
sql·安全·web安全·网络安全·网络攻击模型·安全威胁分析·web
汤愈韬12 小时前
IPSec-NAT穿越原理和配置
网络·网络协议·安全·网络安全·security
大方子14 小时前
【PolarCTF】导航栏
网络安全·polarctf
vortex514 小时前
AI Skill 设计:网络安全审计中的自主性与规范化博弈
人工智能·安全·web安全
网络研究院16 小时前
中国网络安全与数据保护领域政策与执法动态回顾(2026年4月)
网络安全·数据保护·执法·政策·回顾
网络研究院16 小时前
中国网络安全与数据保护领域政策与执法动态回顾(2026年2月)
网络安全·数据保护·法规·政策·回顾
@insist12317 小时前
系统架构设计师-安全架构设计:网络安全威胁分类与典型攻击原理
web安全·系统架构·软考·安全架构·系统架构设计师·软件水平考试
humors22118 小时前
四种字母密码表示法
安全·网络安全·密码学
2501_946786201 天前
2026漏洞扫描服务:企业防护痛点解决指南
网络·安全·web安全
XINVRY-FPGA1 天前
XCKU035-2FBVA676I AMD Xilinx Kintex UltraScale FPGA
arm开发·嵌入式硬件·网络安全·fpga开发·硬件工程·信号处理·fpga
热门推荐
01GitHub 镜像站点02【AI】2026 年具身智能模型和世界模型总结032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04Codex 下载安装指南:Windows 和 macOS 官方版下载05Codex 桌面端更新后 Chrome 插件和 Computer Use 不可用,怎么排查和修复06CC-Switch 下载、安装与使用配置指南【2026.5.29】07【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法08CC-Switch & Claude 基于 Linux 服务器安装使用指南09Codex 接入 DeepSeek API 完整配置文档10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法