php伪协议 [NISACTF 2022]easyssrf

打开题目

我们直接用 file:/// 协议读取看看flag文件

file:///flag

点击curl得到回响

得到提示告诉我们应该看看提示文件

file:///fl4g

跟着去访问了一下

再跟着去访问

从代码中我们可以看出

get传参file,我们用stristr检测file参数里面是否含有file,这个函数不区分大小写,也就是无论file参数含有大写还是小写的file字眼都会被过滤

所以我们就用不了 file 协议读取flag

解法一

?file=php://filter/read=convert.base64-encode/resource=/flag

base64解码即可得到flag

解法二

直接读取,一层一层的猜

相关推荐
Codingwiz_Joy26 分钟前
Day09 -实例:拿到加密密文进行解密
算法·安全·安全性测试
智驱力人工智能1 小时前
AI赋能实时安全背带监测解决方案
人工智能·安全·计算机视觉·智慧城市·智慧工地·智能巡检·安全背带识别
GIS数据转换器1 小时前
构建智能汽车地图标准体系:自动驾驶技术的基石
大数据·人工智能·科技·安全·机器学习·自动驾驶·汽车
不会kao代码的小王3 小时前
开源WAF雷池本地化部署与远程查看网站安全防护的详细操作指南
安全·开源
没明白白3 小时前
HTTP 和 HTTPS:从不安全到安全的蜕变之路
安全·http·https
MoFe14 小时前
【C#】Http请求设置接收不安全的证书
安全·http·c#
泷羽Sec-pp5 小时前
MrRobot靶机详细解答
linux·运维·服务器·网络·安全
MC何失眠7 小时前
vulnhub靶场之stapler靶机
网络·学习·安全·web安全·网络安全
WangMing_X11 小时前
C#实现动态验证码生成器:安全防护与实际应用场景
开发语言·安全·c#·验证码·图片
艽掵猫15 小时前
RCE漏洞
安全