CTF网络安全大赛简单的web题目:baby lfi

程序员贵哥2024-05-24 22:31

题目来源于:bugku

题目难度:简单

题目 描  述: What about making things a bit harder ?

题目源代码:

复制代码 
<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <link
      rel="stylesheet"
      href="https://stackpath.bootstrapcdn.com/bootstrap/4.4.1/css/bootstrap.min.css"
      integrity="sha384-Vkoo8x4CGsO3+Hhxv8T/Q5PaXtkKtu6ug5TOeNV6gBiFeWPGFN9MuhOf23Q9Ifjh"
      crossorigin="anonymous"
    />
    <link rel="stylesheet" href="main.css" />
    <title>Say Hello to our Gentelmen | LFI Warmups</title>
</head>
<body>
<br /><br />
    <div class="container">
        <h1 id="h1">LFI Warmups</h1>
        <hr />
        <h2 id="challenge">Hello I can speak 2 languages !</h2>
        <hr />
        <u><b>Rules</b></u>
        <ul>
        <li>include some critical file <code> why not /etc/passwd</code></li>
        </ul>
        <hr />
        <u><b>Challenge</b></u>
        <pre>Please Select a language of your choice : en/fr </pre>
        <p><b>HINT :</b> use the <code>language parameter </code> :)</p>
        <hr />
        <p>
                    </p>
    </div>
</body>
</html>

这个HTML页面是一个简单的网页,标题为"Say Hello to our Gentlemen | LFI Warmups",并包含了一些基本的Bootstrap样式和自定义的main.css样式表。这个页面似乎是一个挑战或学习任务的起点,专注于一个名为"LFI Warmups"的主题。

以下是页面内容的详细分析:

  1. 标题和元信息

    • 页面标题为"Say Hello to our Gentlemen | LFI Warmups"。
    • <meta charset="UTF-8" /> 指定了文档使用的字符编码。
    • <meta name="viewport" ...> 标签确保页面在不同设备上都能正确显示。

  2. 样式链接

    • 页面链接到了Bootstrap 4.4.1的CSS文件以获取基本样式。
    • 还链接到了一个名为main.css的自定义样式表,这可能包含页面的特定样式。

  3. 页面内容

    • <div class="container">:使用Bootstrap的container类来限制内容的宽度,并确保在不同设备上都有良好的布局。
    • 页面包含两个主要的标题<h1><h2>,分别显示"LFI Warmups"和"Hello I can speak 2 languages !"。
    • 有一条规则(<u><b>Rules</b></u>),指出需要包含一些"关键文件",并给出了一个示例/etc/passwd(这暗示了可能与文件包含(LFI, Local File Inclusion)相关的挑战)。
    • 挑战部分(<u><b>Challenge</b></u>)要求用户选择一种语言(英语或法语),并给出了一个提示,建议使用"language参数"。

可能的任务或挑战

  • 考虑到页面上的"LFI Warmups"和规则部分提到的文件包含(/etc/passwd),这个页面可能是一个用于教授或测试本地文件包含(LFI)漏洞的学习任务或挑战。
  • 用户可能需要在URL或其他输入字段中添加特定的"language参数"来触发某些功能或访问特定的文件。
  • 由于提到了两种语言(英语和法语),用户可能需要通过更改这个参数来查看不同语言的内容或触发不同的响应。

安全注意

  • 如果这是一个真实的、公开的网站,并且真的允许用户通过输入参数来访问服务器上的文件,那么这将是一个严重的安全风险。文件包含漏洞可以被恶意利用来访问敏感文件或执行恶意代码。
  • 在学习或测试环境中使用这样的挑战时,请确保所有输入都经过了适当的验证和清理,以防止潜在的安全风险。

下面我们开始解题:

这个题目很简单

直接 "URL/?language=/etc/passwd" 即可获取到flag

原文链接: https://blog.hongkewang.cn/index.php/archives/249/

红客网:blog.hongkewang.cn

相关推荐
安当加密23 分钟前
安全登录多人共用的机密电脑:基于动态凭证与会话隔离的解决方案
安全·电脑
七月稻草人41 分钟前
Rust 应用状态(App State)管理:类型安全与并发控制的艺术
开发语言·安全·rust
技术砖家--Felix1 小时前
Spring Boot Web开发篇:构建RESTful API
前端·spring boot·restful
金仓拾光集1 小时前
金仓替代MongoDB:安全与性能协同提升——社交用户画像系统的国产化实践
数据库·安全·mongodb·kingbase·kingbasees·数据库平替用金仓·金仓数据库
NOVAnet20231 小时前
南凌科技SD-WAN全球组网方案技术解析:助力JINS完成600+门店数字化升级
网络·web安全·智能流量调度
GIS数据转换器1 小时前
科技赋能农业现代化的破局之道
大数据·科技·安全·机器学习·智慧城市·制造
yume_sibai2 小时前
TS 常用内置方法
前端·javascript·typescript
新知图书2 小时前
ArkTS语言、基本组成与数据类型
前端·javascript·typescript
一RTOS一2 小时前
以自主创新推动能源装备智能化升级,为能源安全构筑“确定性”底座
安全·能源
嘗_2 小时前
手写自己的小型react
前端·javascript·react.js
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03BongoCat - 跨平台键盘猫动画工具04GitLab 零基础入门指南:从安装到项目管理全流程05Linux下V2Ray安装配置指南06NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南07Labelme从安装到标注:零基础完整指南08安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)09在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)10jdk21下载、安装(Windows、Linux、macOS)