CTF网络安全大赛简单的web题目:baby lfi

程序员贵哥2024-05-24 22:31

题目来源于:bugku

题目难度:简单

题目 描  述: What about making things a bit harder ?

题目源代码:

复制代码 
<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <link
      rel="stylesheet"
      href="https://stackpath.bootstrapcdn.com/bootstrap/4.4.1/css/bootstrap.min.css"
      integrity="sha384-Vkoo8x4CGsO3+Hhxv8T/Q5PaXtkKtu6ug5TOeNV6gBiFeWPGFN9MuhOf23Q9Ifjh"
      crossorigin="anonymous"
    />
    <link rel="stylesheet" href="main.css" />
    <title>Say Hello to our Gentelmen | LFI Warmups</title>
</head>
<body>
<br /><br />
    <div class="container">
        <h1 id="h1">LFI Warmups</h1>
        <hr />
        <h2 id="challenge">Hello I can speak 2 languages !</h2>
        <hr />
        <u><b>Rules</b></u>
        <ul>
        <li>include some critical file <code> why not /etc/passwd</code></li>
        </ul>
        <hr />
        <u><b>Challenge</b></u>
        <pre>Please Select a language of your choice : en/fr </pre>
        <p><b>HINT :</b> use the <code>language parameter </code> :)</p>
        <hr />
        <p>
                    </p>
    </div>
</body>
</html>

这个HTML页面是一个简单的网页,标题为"Say Hello to our Gentlemen | LFI Warmups",并包含了一些基本的Bootstrap样式和自定义的main.css样式表。这个页面似乎是一个挑战或学习任务的起点,专注于一个名为"LFI Warmups"的主题。

以下是页面内容的详细分析:

  1. 标题和元信息

    • 页面标题为"Say Hello to our Gentlemen | LFI Warmups"。
    • <meta charset="UTF-8" /> 指定了文档使用的字符编码。
    • <meta name="viewport" ...> 标签确保页面在不同设备上都能正确显示。

  2. 样式链接

    • 页面链接到了Bootstrap 4.4.1的CSS文件以获取基本样式。
    • 还链接到了一个名为main.css的自定义样式表,这可能包含页面的特定样式。

  3. 页面内容

    • <div class="container">:使用Bootstrap的container类来限制内容的宽度,并确保在不同设备上都有良好的布局。
    • 页面包含两个主要的标题<h1><h2>,分别显示"LFI Warmups"和"Hello I can speak 2 languages !"。
    • 有一条规则(<u><b>Rules</b></u>),指出需要包含一些"关键文件",并给出了一个示例/etc/passwd(这暗示了可能与文件包含(LFI, Local File Inclusion)相关的挑战)。
    • 挑战部分(<u><b>Challenge</b></u>)要求用户选择一种语言(英语或法语),并给出了一个提示,建议使用"language参数"。

可能的任务或挑战

  • 考虑到页面上的"LFI Warmups"和规则部分提到的文件包含(/etc/passwd),这个页面可能是一个用于教授或测试本地文件包含(LFI)漏洞的学习任务或挑战。
  • 用户可能需要在URL或其他输入字段中添加特定的"language参数"来触发某些功能或访问特定的文件。
  • 由于提到了两种语言(英语和法语),用户可能需要通过更改这个参数来查看不同语言的内容或触发不同的响应。

安全注意

  • 如果这是一个真实的、公开的网站,并且真的允许用户通过输入参数来访问服务器上的文件,那么这将是一个严重的安全风险。文件包含漏洞可以被恶意利用来访问敏感文件或执行恶意代码。
  • 在学习或测试环境中使用这样的挑战时,请确保所有输入都经过了适当的验证和清理,以防止潜在的安全风险。

下面我们开始解题:

这个题目很简单

直接 "URL/?language=/etc/passwd" 即可获取到flag

原文链接: https://blog.hongkewang.cn/index.php/archives/249/

红客网:blog.hongkewang.cn

相关推荐
Можно8 分钟前
深入理解 ES6 Proxy:与 Object.defineProperty 的全面对比
前端·javascript·vue.js
Birdy_x22 分钟前
接口自动化项目实战(1):requests请求封装
开发语言·前端·python
Chengbei112 小时前
推送POC汇总 — 2026年1月多产品多类型vulnerability速递与应急建议
安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
天天向上10242 小时前
vue el-table实现拖拽排序
前端·javascript·vue.js
freewlt2 小时前
深入理解 OpenClaw:打造安全可控的本地 AI 助理架构
人工智能·安全·架构·openclaw
柳杉3 小时前
Three.js × Blender:从建模到 Web 3D 的完整工作流深度解析
前端·javascript·数据可视化
reembarkation4 小时前
vue3中使用howler播放音频列表
前端·vue.js·音视频
手握风云-4 小时前
基于 Java 的网页聊天室(三)
服务器·前端·数据库
red1giant_star4 小时前
浅析XSS原理与分类——含payload合集和检测与防护思路
安全·机器学习
weixin199701080164 小时前
《识货商品详情页前端性能优化实战》
前端·性能优化
热门推荐
012026年3月AI领域大事件:DeepSeek引领开源风暴02GitHub 镜像站点03围棋-html版本04纯 HTML/CSS/JS 实现的高颜值登录页,还会眨眼睛!少女心爆棚!05班级宠物园部署指南06“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)07小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)08UV安装并设置国内源09OpenClaw 使用和管理 MCP 完全指南10中国象棋-html版本