CTF网络安全大赛简单的web题目:baby lfi

程序员贵哥2024-05-24 22:31

题目来源于:bugku

题目难度:简单

题目 描  述: What about making things a bit harder ?

题目源代码:

复制代码 
<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <link
      rel="stylesheet"
      href="https://stackpath.bootstrapcdn.com/bootstrap/4.4.1/css/bootstrap.min.css"
      integrity="sha384-Vkoo8x4CGsO3+Hhxv8T/Q5PaXtkKtu6ug5TOeNV6gBiFeWPGFN9MuhOf23Q9Ifjh"
      crossorigin="anonymous"
    />
    <link rel="stylesheet" href="main.css" />
    <title>Say Hello to our Gentelmen | LFI Warmups</title>
</head>
<body>
<br /><br />
    <div class="container">
        <h1 id="h1">LFI Warmups</h1>
        <hr />
        <h2 id="challenge">Hello I can speak 2 languages !</h2>
        <hr />
        <u><b>Rules</b></u>
        <ul>
        <li>include some critical file <code> why not /etc/passwd</code></li>
        </ul>
        <hr />
        <u><b>Challenge</b></u>
        <pre>Please Select a language of your choice : en/fr </pre>
        <p><b>HINT :</b> use the <code>language parameter </code> :)</p>
        <hr />
        <p>
                    </p>
    </div>
</body>
</html>

这个HTML页面是一个简单的网页,标题为"Say Hello to our Gentlemen | LFI Warmups",并包含了一些基本的Bootstrap样式和自定义的main.css样式表。这个页面似乎是一个挑战或学习任务的起点,专注于一个名为"LFI Warmups"的主题。

以下是页面内容的详细分析:

  1. 标题和元信息

    • 页面标题为"Say Hello to our Gentlemen | LFI Warmups"。
    • <meta charset="UTF-8" /> 指定了文档使用的字符编码。
    • <meta name="viewport" ...> 标签确保页面在不同设备上都能正确显示。

  2. 样式链接

    • 页面链接到了Bootstrap 4.4.1的CSS文件以获取基本样式。
    • 还链接到了一个名为main.css的自定义样式表,这可能包含页面的特定样式。

  3. 页面内容

    • <div class="container">:使用Bootstrap的container类来限制内容的宽度,并确保在不同设备上都有良好的布局。
    • 页面包含两个主要的标题<h1><h2>,分别显示"LFI Warmups"和"Hello I can speak 2 languages !"。
    • 有一条规则(<u><b>Rules</b></u>),指出需要包含一些"关键文件",并给出了一个示例/etc/passwd(这暗示了可能与文件包含(LFI, Local File Inclusion)相关的挑战)。
    • 挑战部分(<u><b>Challenge</b></u>)要求用户选择一种语言(英语或法语),并给出了一个提示,建议使用"language参数"。

可能的任务或挑战

  • 考虑到页面上的"LFI Warmups"和规则部分提到的文件包含(/etc/passwd),这个页面可能是一个用于教授或测试本地文件包含(LFI)漏洞的学习任务或挑战。
  • 用户可能需要在URL或其他输入字段中添加特定的"language参数"来触发某些功能或访问特定的文件。
  • 由于提到了两种语言(英语和法语),用户可能需要通过更改这个参数来查看不同语言的内容或触发不同的响应。

安全注意

  • 如果这是一个真实的、公开的网站,并且真的允许用户通过输入参数来访问服务器上的文件,那么这将是一个严重的安全风险。文件包含漏洞可以被恶意利用来访问敏感文件或执行恶意代码。
  • 在学习或测试环境中使用这样的挑战时,请确保所有输入都经过了适当的验证和清理,以防止潜在的安全风险。

下面我们开始解题:

这个题目很简单

直接 "URL/?language=/etc/passwd" 即可获取到flag

原文链接: https://blog.hongkewang.cn/index.php/archives/249/

红客网:blog.hongkewang.cn

相关推荐
庸俗今天不摸鱼14 分钟前
【万字总结】前端全方位性能优化指南(十)——自适应优化系统、遗传算法调参、Service Worker智能降级方案
前端·性能优化·webassembly
黄毛火烧雪下21 分钟前
React Context API 用于在组件树中共享全局状态
前端·javascript·react.js
Apifox32 分钟前
如何在 Apifox 中通过 CLI 运行包含云端数据库连接配置的测试场景
前端·后端·程序员
一张假钞35 分钟前
Firefox默认在新标签页打开收藏栏链接
前端·firefox
高达可以过山车不行35 分钟前
Firefox账号同步书签不一致(火狐浏览器书签同步不一致)
前端·firefox
m0_5937581036 分钟前
firefox 136.0.4版本离线安装MarkDown插件
前端·firefox
掘金一周39 分钟前
金石焕新程 >> 瓜分万元现金大奖征文活动即将回归 | 掘金一周 4.3
前端·人工智能·后端
三翼鸟数字化技术团队1 小时前
Vue自定义指令最佳实践教程
前端·vue.js
Jasmin Tin Wei1 小时前
蓝桥杯 web 学海无涯(axios、ecahrts)版本二
前端·蓝桥杯
圈圈编码2 小时前
Spring Task 定时任务
java·前端·spring
热门推荐
01我决定放弃搞 Java 了02DeepSeek各版本说明与优缺点分析03如何在WPS和Word/Excel中直接使用DeepSeek功能04RAG 实践- Ollama+RagFlow 部署本地知识库05苍穹外卖面试总结06从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑07本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程08DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具09如何本地部署AI智能体平台,带你手搓一个AI Agent10Android下HWC以及drm_hwcomposer普法(上)