BUUCTF 之Basic 1(BUU LFI COURSE 1)

1、启动靶场,会生成一个URL地址,打开给的URL地址,会看到一个如下界面

可以看到是一个PHP文件,非常的简单,就几行代码,判断一下是否有一个GET的参数,并且是file名字,如果是并且加载,通过审计代码可以看出这是一个文件包含漏洞。

2、我们尝试使用file参数传参,并让其报错,来看服务器是windos还是linux,我们好进行获取文件

我们通过标注位置可以看到是一个linux服务器,并且使用的是nginx默认的位置。

3、回想一下这个靶场最终的目的是拿到flag,可以尝试,穿越目录拿flag。

例如:

复制代码
../../../../flag

发现成功拿到flag,复制全部的flag回到靶场进行提交,第一关就可通过。

相关推荐
希望奇迹很安静19 小时前
SSRF_XXE_RCE_反序列化学习
学习·web安全·ctf·渗透测试学习
print_Hyon20 小时前
【CTF-WEB-SQL】SQL注入基本流程-错误注入(sql-labs的Less5)(updatexml)
ctf
Safe network access2 天前
2023江苏省第二届数据安全技能大赛决赛题
安全·ctf
uwvwko4 天前
使用docker(ubuntu)搭建web环境(php,apahce2)
ubuntu·docker·php·web·ctf·apache2
码农12138号6 天前
BUUCTF在线评测-练习场-WebCTF习题[BSidesCF 2020]Had a bad day1-flag获取、解析
web安全·网络安全·ctf·buuctf·文件包含漏洞
uwvwko7 天前
安装kali时出现“安装步骤失败“如何解决及后续软件安装
linux·运维·服务器·安全·kali·ctf
介一安全7 天前
从 0 到 1 玩转 XSS - haozi 靶场:环境搭建 + 全关卡漏洞解析
web安全·靶场·xss·安全性测试
诗人不说梦^9 天前
[MRCTF2020]Ezpop
web·ctf
baynk9 天前
wireshark的常用用法
网络·测试工具·wireshark·ctf
诗人不说梦^10 天前
[BJDCTF2020]Mark loves cat
web·ctf