2401_88387979的博客

在前面的关卡中，我们已经学会使用绕过插件进行禁用函数绕过，下面我们来秒过吧。这里测试连接失败，将编码器改为base64，就能连接成功了。鼠标右键打开虚拟终端，测试命令，发现终端被禁用，尝试绕过。可以发现页面显示一个一句话木马，复制网址，尝试蚁剑连接。鼠标右键--插件市场，添加本地插件，重启应用。鼠标右键--加载插件--辅助工具--绕过。再次打开虚拟终端，尝试使用命令，成功获取。进入初始环境界面，点击‘GetFlag’发现和上一关一样，继续尝试蚁剑连接。返回，鼠标右键--编辑数据。本关同样使用禁用函数绕过。

技能树--Web--SSRF内网访问开启题目尝试访问位于127.0.0.1的flag.php吧进入环境根据提示输入即可127.0.0.1/flag.php伪协议读取文件开启题目尝试去读取一下Web目录下的flag.php吧进入环境，根据提示输入file:///var/www/html/flag.php鼠标右键查看页面源代码端口扫描开启题目来来来性感CTFHub在线扫端口,据说端口范围

在Web安全之中，可能大家对SQL注入、XSS跨站脚本攻击、文件上传一些漏洞已经耳熟于心了，但因web源码泄露而导致的问题也并不少见。不仅小网站由此类问题，在一些大的厂商站点也同样出现不少。在日常挖掘漏洞中，像Web源码泄露此类的信息泄露漏洞还是普遍存在的，而造成这种问题的原因，无一是代码部署到生产环境后，一些细节问题未做处理。接下来就跟大家详细介绍下各种Web源码泄露漏洞，以便为各个挖洞人士提供方便。浏览器进入CTFHub（需要注册账号）。点击学习进入技能树。点击进入web里面的信息泄露。