bugku-web-flag在index里

最新推荐文章于 2022-03-13 12:26:06 发布
最新推荐文章于 2022-03-13 12:26:06 发布
阅读量413 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41173457/article/details/81952755
本文介绍了一种通过Web渗透获取Flag的方法。作者通过点击链接并观察URL变化, 发现了目标网站的文件路径。尝试多种文件包含攻击手法后, 成功使用php://filter流包装器读取目标文件, 并通过Base64解码找到Flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近好忙啊
不说了,开始题目吧
进入页面 click me?no
点击 发现url变成了 http://120.24.86.145:8005/post/index.php?file=show.php
flag在index里面
尝试?file=index.php 不行没有任何返回
尝试 ?file=php://filter/convert.base64-encode/resource=index.php
得到一串base64字符串 base64解码 可以发现flag了

woy66
关注
flagindex,php://filter协议
wssmiss的博客
03-06 786
题目连接http://123.206.87.240:8005/post/ 题目 点击之后出现 地址栏:http://123.206.87.240:8005/post/index.php?file=show.php 观察此题的切入点应该在文件包含漏洞,而且是php ...
bugku-Web-login3(SKCTF)(登录用户名+异或方式的bool盲注)
Sea_Sand息禅
04-05 1138
题目给出了提示:基于布尔的SQL盲注 打开网页,是登录框,那我们很大可能就是在username或password上进行注入,可能性大一点的是username了吧。 首先输进行一些尝试,找出正确的注入地方以及是否进行了过滤。 反馈是password error! 输入用户名admin1,得到username does not exist!,所以这应该是先对username进行查询,这...
bugku_web flagindex
didid_w的博客
05-01 635
打开网页:点击之后url变成了:看到?file=show.php在结合题目 flagindex 很容易想到文件包含试试:http://120.24.86.145:8005/post/index.php?file=file_get_contents(index.php)在试了其他的文件读取函数发现什么都没输出,说明可能有过滤条件得绕过过滤通过php伪协议利用PHP://filter/read=c...
Bugku——flagindex
王嘟嘟的博客
11-03 1103
0x00 前言 今日份CTF奉上,这到底涉及到的伪协议是真的不懂呀。 题目 0x01 start 我一直都相信就算有什么东西不会,但是请把你能做好的每一点都做好,比如说xxxx这个东西你根本不会,你首先要做的就是把xxxx这个名字的意思查清楚,虽然很蠢,但是也是一中态度。 点开链接进行查看 点一下click me进行尝试。 发现这很明显的提示file=xxxx 知道是文件包含,但是怎么利用...
BugKu flagindex-知识点
布屿
05-17 393
CTF/CTF练习平台-flagindex【php://filter的利用】 https://blog.youkuaiyun.com/wy_97/article/details/77431111 谈一谈php://filter的妙用 https://blog.youkuaiyun.com/wy_97/article/details/77432002 ...
bugku web flagindex
thinszx的博客
03-09 306
题目描述 看到了点击以后的url,尝试了一下?file=index.php,结果失败,啥都没有,上网搜了一下题解,发现这是php中的伪协议 php伪协议 在php中,有
BUGKU-WEB-WEB41
qq_25755011的博客
04-21 1519
一道反序列化字符串逃逸+ssrf的综合题 解题思路 字符串逃逸 题目源码如下: <?php // php版本:5.4.44 header("Content-type: text/html; charset=utf-8"); highlight_file(__FILE__); class evil{ public $hint; public function __construct($hint){ $this->hint = $hint; }
Bugku-web之cookies
weixin_42939822的博客
03-13 1668
一打开题目,发现一系列重复的字符串,受到“备份是个好习惯”题目的影响,不自觉地对这串字符串进行了各种解密,无果…… 此时思路堵塞,无意间看到url中的payload格式,对filename变量进行了base64解码,得到了keys.txt的结果。 想到可能存在php常见的文件包含问题,于是对filename变量进行了更改,变更为index.php的base64加密,同时猜测line变量表示源码的行数,先另line=3,进行尝试,喜得猜想结果。 于是编写脚本,对index.php的源码进行提取。
Bugku Web CTF-flagIndex
No Title
12-09 1033
Bugku Web CTF-flagIndex 查看网页源码。 <html> <title>Bugku-ctf</title> <a href="./index.php?file=show.php">click me? no</a></html> 观察URL的格式,让人联想到文件包含漏洞。然而并没有看到...
bugku-writeup-web-文件包含
热门推荐
dark的博客
06-14 1万+
bugku-web13解题思路记录。” 题目:click me? no
bugku---flagindex
LuckySec
11-15 498
题目 http://123.206.87.240:8005/post/ 点击试试 可以看到file=show.php 由此想到php://filter是PHP中独有的协议 这是关于php://filter的博客 https://www.leavesongs.com/PENETRATION/php-filter-magic.html 将网址改为 http://123.206.87.240:80...
CTF/CTF练习平台-flagindex【php://filter的利用】
benli8541的博客
02-08 2464
原题内容: http://120.24.86.145:8005/post/ Mark一下这道题,前前后后弄了两个多小时,翻了一下别的博主的wp感觉还是讲的太粗了,这总结下自己的理解: 首先打开这道题,页面只给你click me? no 点击进去显示test5 第一步,查看源代码,无果 第二步bp,无果 结合到题目,flagindex,大胆尝试http://120.24.86.145:8005/post/index.php,可惜和之前一样 注意到了传值为http://1...
Bugku web——flagindex
qq_40481505的博客
09-04 411
打开题目链接,点击“click me”,发现其连接为: http://123.206.87.240:8005/post/index.php?file=show.php 说明index.php使用了文件包含,因此可以利用php文件包含漏洞 此漏洞有下面几种利用方法 php://filter 使用方法:http://123.206.87.240:8005/post/index.php?file=p...
Bugkuflagindex
foreverzwl
10-22 1804
php文件包含漏洞
Bugkuflagindex(本地文件包含)writeup
xuchen16的博客
09-19 2593
flagindex 80 http://120.24.86.145:8005/post/   解题思路: 首先打开这道题,页面只给你click me? no 点击进去显示test5     第一步,查看源代码,无果 第二步bp,无果 结合到题目,flagindex,大胆尝试http://120.24.86.145:8005/post/index.php,可惜和之前一样...
BugkuCTF】Web--flagindex
VZZmieshenquan的博客
02-08 344
Description: http://123.206.87.240:8005/post/ Solution: 进入网页点击链接以后查看网址发现有可以读取本地php的参数题目说明flagindex,所以我就直接把show改成了php,但是发现网页内容为空,所以就用php://filter伪协议来读取本地php文件 将网址改成 http://123.206.87.240:8005/pos...
Bugkuweb flagindex
qq_26961571的博客
06-23 989
这道题本来以为是简单抓包题,没想到是文件包含题目,让我打开了新世界大门。 老规矩,先打开他要求的网页查看。 查看源代码。 并没有什么东西。 点击了之后也是出现一行字。 源代码也没有任何东西。 这时候想到抓包,看了老半天的包,面也是啥都没发现。只能百度了 百度说这是文件包含漏洞,给了一串url命令,主要是让file=index的意思,这岂不是完全依赖于题目提示了,看来题目还是非常关键的东西。 http://123.206...
CTF之Bugku flagindex
weixin_41607190的博客
10-08 1087
这是一道重新温习的题,直接来看。 “点我?不” 我就点!基本操作还是要看看源代码的,不过这个没什么好看的就不贴图了。 点完后发现URL后面有个 file=balabalabala 的,就联想到php://filter 不明白为什么会这样联想的就看看这个文章。 简单来说就是查看网页同一目录下的另一个文件。 怎么查看呢? 在file=后面加上这样一个语句php://filter/read=conv...
bugku flagindex
Seaern的博客
07-02 351
题目链接 第二个界面发现url为: http://123.206.87.240:8005/post/index.php?file=show.php 参数有file选项,联想到了文件包含漏洞 结合题目提示: flagindex 通过PHP内置协议直接读取代码 PHP内置协议 通过构造如下语句: http://xxx.com/index.php?file=php://fil...
PHP在CTF-Web挑战中的实战应用技巧
标题和描述中提到的知识点是关于在Web环境中使用PHP编程语言进行CTF(Capture The Flag)挑战的介绍。CTF是一种信息安全竞赛,参赛者需要解决一系列安全相关的挑战题目以“捕获”虚拟的“旗帜”。这类竞赛通常包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值