php伪协议 [NISACTF 2022]easyssrf

打开题目

我们直接用 file:/// 协议读取看看flag文件

file:///flag

点击curl得到回响

得到提示告诉我们应该看看提示文件

file:///fl4g

跟着去访问了一下

再跟着去访问

从代码中我们可以看出

get传参file,我们用stristr检测file参数里面是否含有file,这个函数不区分大小写,也就是无论file参数含有大写还是小写的file字眼都会被过滤

所以我们就用不了 file 协议读取flag

解法一

?file=php://filter/read=convert.base64-encode/resource=/flag

base64解码即可得到flag

解法二

直接读取,一层一层的猜

相关推荐
运维开发王义杰3 小时前
金融安全生命线:用AWS EventBridge和CloudTrail构建主动式入侵检测系统
安全·金融·aws
安全系统学习5 小时前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
加密狗复制模拟7 小时前
坚石ET ARM加密狗复制模拟介绍
安全·软件工程·个人开发
galaxylove8 小时前
Gartner发布塑造安全运营未来的关键 AI 自动化趋势
人工智能·安全·自动化
scuter_yu8 小时前
主流零信任安全产品深度介绍
运维·网络·安全
江苏思维驱动智能研究院有限公司8 小时前
Sophos 网络安全:全球领先的自适应安全解决方案提供商
网络·安全·web安全
小能喵10 小时前
Kali Linux Wifi 伪造热点
linux·安全·kali·kali linux
浩浩测试一下15 小时前
渗透信息收集- Web应用漏洞与指纹信息收集以及情报收集
android·前端·安全·web安全·网络安全·安全架构
Fortinet_CHINA18 小时前
工业网络安全新范式——从风险可见性到量化防御的进化
安全·web安全
网安小白的进阶之路20 小时前
A模块 系统与网络安全 第三门课 网络通信原理-3
网络·windows·安全·web安全·系统安全