CTF网络安全大赛简单的web题目:baby lfi

题目来源于:bugku

题目难度:简单

题目 描  述: What about making things a bit harder ?

题目源代码:

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <link
      rel="stylesheet"
      href="https://stackpath.bootstrapcdn.com/bootstrap/4.4.1/css/bootstrap.min.css"
      integrity="sha384-Vkoo8x4CGsO3+Hhxv8T/Q5PaXtkKtu6ug5TOeNV6gBiFeWPGFN9MuhOf23Q9Ifjh"
      crossorigin="anonymous"
    />
    <link rel="stylesheet" href="main.css" />
    <title>Say Hello to our Gentelmen | LFI Warmups</title>
</head>
<body>
<br /><br />
    <div class="container">
        <h1 id="h1">LFI Warmups</h1>
        <hr />
        <h2 id="challenge">Hello I can speak 2 languages !</h2>
        <hr />
        <u><b>Rules</b></u>
        <ul>
        <li>include some critical file <code> why not /etc/passwd</code></li>
        </ul>
        <hr />
        <u><b>Challenge</b></u>
        <pre>Please Select a language of your choice : en/fr </pre>
        <p><b>HINT :</b> use the <code>language parameter </code> :)</p>
        <hr />
        <p>
                    </p>
    </div>
</body>
</html>

这个HTML页面是一个简单的网页,标题为"Say Hello to our Gentlemen | LFI Warmups",并包含了一些基本的Bootstrap样式和自定义的main.css样式表。这个页面似乎是一个挑战或学习任务的起点,专注于一个名为"LFI Warmups"的主题。

以下是页面内容的详细分析:

  1. 标题和元信息

    • 页面标题为"Say Hello to our Gentlemen | LFI Warmups"。
    • <meta charset="UTF-8" /> 指定了文档使用的字符编码。
    • <meta name="viewport" ...> 标签确保页面在不同设备上都能正确显示。
  2. 样式链接

    • 页面链接到了Bootstrap 4.4.1的CSS文件以获取基本样式。
    • 还链接到了一个名为main.css的自定义样式表,这可能包含页面的特定样式。
  3. 页面内容

    • <div class="container">:使用Bootstrap的container类来限制内容的宽度,并确保在不同设备上都有良好的布局。
    • 页面包含两个主要的标题<h1><h2>,分别显示"LFI Warmups"和"Hello I can speak 2 languages !"。
    • 有一条规则(<u><b>Rules</b></u>),指出需要包含一些"关键文件",并给出了一个示例/etc/passwd(这暗示了可能与文件包含(LFI, Local File Inclusion)相关的挑战)。
    • 挑战部分(<u><b>Challenge</b></u>)要求用户选择一种语言(英语或法语),并给出了一个提示,建议使用"language参数"。

可能的任务或挑战

  • 考虑到页面上的"LFI Warmups"和规则部分提到的文件包含(/etc/passwd),这个页面可能是一个用于教授或测试本地文件包含(LFI)漏洞的学习任务或挑战。
  • 用户可能需要在URL或其他输入字段中添加特定的"language参数"来触发某些功能或访问特定的文件。
  • 由于提到了两种语言(英语和法语),用户可能需要通过更改这个参数来查看不同语言的内容或触发不同的响应。

安全注意

  • 如果这是一个真实的、公开的网站,并且真的允许用户通过输入参数来访问服务器上的文件,那么这将是一个严重的安全风险。文件包含漏洞可以被恶意利用来访问敏感文件或执行恶意代码。
  • 在学习或测试环境中使用这样的挑战时,请确保所有输入都经过了适当的验证和清理,以防止潜在的安全风险。

下面我们开始解题:

这个题目很简单

直接 "URL/?language=/etc/passwd" 即可获取到flag

原文链接: https://blog.hongkewang.cn/index.php/archives/249/

红客网:blog.hongkewang.cn

相关推荐
黑客Jack7 分钟前
防御 XSS 的七条原则
安全·web安全·xss
东方隐侠安全团队-千里37 分钟前
网安瞭望台第17期:Rockstar 2FA 故障催生 FlowerStorm 钓鱼即服务扩张现象剖析
网络·chrome·web安全
云云32140 分钟前
怎么通过亚矩阵云手机实现营销?
大数据·服务器·安全·智能手机·矩阵
顾平安1 小时前
Promise/A+ 规范 - 中文版本
前端
聚名网1 小时前
域名和服务器是什么?域名和服务器是什么关系?
服务器·前端
桃园码工1 小时前
4-Gin HTML 模板渲染 --[Gin 框架入门精讲与实战案例]
前端·html·gin·模板渲染
沈剑心1 小时前
如何在鸿蒙系统上实现「沉浸式」页面?
前端·harmonyos
神一样的老师1 小时前
面向高精度网络的时间同步安全管理架构
网络·安全·架构
一棵开花的树,枝芽无限靠近你1 小时前
【PPTist】组件结构设计、主题切换
前端·笔记·学习·编辑器
m0_748237052 小时前
Chrome 关闭自动添加https
前端·chrome