bugkuctf——flag就在index里

最新推荐文章于 2024-02-21 22:23:06 发布

十九岁97

最新推荐文章于 2024-02-21 22:23:06 发布

阅读量2k

点赞数

CC 4.0 BY-SA版权

本文链接：https://blog.youkuaiyun.com/weixin_40980428/article/details/79757555

本文介绍了一种利用文件包含漏洞的方法，通过特定URL参数触发漏洞，并使用php://filter功能读取并解码目标文件内容，最终成功获取到隐藏的flag。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

打开链接后看到一串英文字符“点我？不”，点开看看

发现了file参数原来是文件包含漏洞，通过php://filter读取index源码-->php://filter/read=convert.base64-encode/resource=index.phpburp，然后将其进行base64解密得到flag

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

十九岁97

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

BugkuCTF——最新web篇writeup（持续更新）

1匹黑马

11-16

4277

文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag：KEY{Web-2-bugKssNNikls9100} 计算器这里做了输入长度限制，F12选中输入框，修改长度限制即可。 flag：flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET，只要我们传递的参数为what，并且内容为flag，即可输出flag。 flag：flag{bugku_get_su8

BugkuCTF练习题解——Web一

qq_41739275的博客

08-24

7074

文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸，好家伙，吓我一跳，还以为是大bug，然后也没有提示啥的感觉有点无从下手？？？别急，打开页面源代码（检查元素也可）瞅瞅注释部分就是flag了。 2.

参与评论您还未登录，请先登录后发表或查看评论

Bugku web6 flag就在这里

weixin_44522540的博客

02-22

550

五、web6 flag就在这里启动场景，一直点击确定，发现页面只会有两个弹框，F12查看源码，发现一串奇怪的字符，猜测是unicode编码，扔到转换器，解出flag

flag在index里(详解)——Bugku

weixin_34128534的博客

07-16

1022

刚刚做了bugku的题目，现在整理一下写出解题思路，希望能够帮助到那些需要帮助的人所有的wp都是以一题一篇的形式写出主要是为了能够让读者更好的阅读以及查找，希望你们不要责怪！！共勉！！！ Challenge 1152 Solves flag在index里 80 http://120.24.86.145:8005/post/ ...

合天CTF 基础 100 flag就在这儿

qq_42728977的博客

10-28

698

下载txt文件，然后python3.x安装pillow库，写如下代码即可 from PIL import Image import re x=500 y=122 im =Image.new("RGB",(x,y)) file =open ('misc100.txt') for i in range(0,x): for j in range(0,y): line =file....

index.php ctf,index.php

weixin_33734005的博客

03-19

329

/*** Author: Porlock* Link: www.porlockz.com* Date: 2018-03-30 16:32:43* Last Modified time:* 1.未登录时，引入未登录header* 2.登陆后，引入已注册header* —————————————未完成—————————————*/session_start();require_once ('init....

CTFHub | Index

尼泊罗河伯的博客

10-13

1110

此题与之前题目类似，使用 GitHack 工具 clone 题目源码到本地目录，没想到查看本地目录文件时发现多了一个文本文件，文本文件中得到此题 flag 。

BugkuCTF web 输入密码查看flag——never give up

the_world_go的博客

04-06

1085

输入密码查看flag 看到要输入密码（爆破爆破爆破）。打开bp抓包。爆破（果然弱密码）输入密码得到 flag{bugku-baopo-hah} 点击一百万次好像网页崩了（也有可能我太菜了），进不去。。。备份是个好习惯打开网页，一段乱码。好的我看不懂，看源码没线索，抓包，没发现拿御剑扫下后台吧找到了可以看到我要提交key1和key2，他们不相等但是md5处理以后相等参考php漏洞...

2021 BugkuCTF “长城杯“ ——“你这flag保熟吗“ 详解

最新发布

Mutsa的博客

02-21

2898

废话：第一次参加CTF比赛，啥也不会，去刷刷真题吧，刷到21年“长城杯”Misc题--“你这flag保熟吗”。下载解压，两张图片一个压缩包，解压要密码，像这种有压缩包要密码，还有图片或者其他文件的，直接不要去想暴力破解了。将图片分离得到一个passwor.xls和hint.txt。两个都打开了，看不出来啥，直接网上搜WP。好！搜来的题解看了，更加懵了，什么希尔伯特曲线，什么brainfuck(BF)密码，什么BF执行的栈，什么atbash密码。学了好久，记录一下。

Bugku CTF Web 解题报告（一）

qq_51090016的博客

01-24

1121

Web11-20题刚接触ctf的菜鸡，突发奇想写博客，想记录一下自己的写题过程。至于前面十题。。。我舍不得bugku的金币再启动一次场景，只好从11题开始。 Web 11 网站被黑了我擦，网站被黑了？？我一菜鸡哪会解这么高大上的题。打开题目一开，还搞得挺炫酷这咋办？鼠标右键点不了，F12一看也没啥。我这也太菜了，只好看看大佬怎么做，原来是要用御剑，只好照葫芦画瓢果然有了，访问下面这个看看盲猜123456。。果然不对。只好想到用bp爆破。可我还不会爆破啊。。只好搜一下教程现学现用。跟着大佬.

bugkuctf解题-WEB

05-04

bugku writeup，web解题writeup，根据网上的writeup自行解题后整理的日记，与大家分享，大家有新方法的也可以评论中告诉我，共同进步。——CTF菜鸟敬上。

BUGkuCTF-flag在index里

dfhjlll的博客

12-21

333

进入页面后,查看源代码和消息头都没有flag,提示是flag在index里,看到URL好像是文件包含,试一下,http://123.206.87.240:8005/post/?file=php://filter/read=convert.base64-encode/resource=index.php 出来一堆字符,进行base64解码，在解码里就有flag了 ...

BugkuCTF-WEB-flag在index里

烟雨天青色

08-27

2752

这道题打开题目链接之后，页面只显示了一个名为“click me？no”的超链接，点开它。点开之后可以发现页面变成的如图所示的样子，注意网页的url，根据url基本可以判断，这道题目属于文件包含类漏洞。现在已知是文件包含漏洞的题目了，下一步我们就需要去读取被包含文件的内容，使用php://filter伪协议，具体如下： php://filter/read=convert.base...

BugkuCTF–flag在index里（附加文件包含漏洞整理）

qq_39585393的博客

10-17

1224

题目描述解题思路 flag在index里面，查看一下源码，发现没有什么有用的东西。然后点击了click me 那个链接只蹦出来一个test5 也是没有什么东西。一度陷入僵局，后来查阅才知道，题目的解题点在url后缀的file里面。是ctf套路，典型的文件包含漏洞。文件包含漏原理文件包含漏洞的产生原因是在通过 PHP 的函数引入文件时，由于传入的文件名没有经过合理的校验，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入。 php 中引发文件包含漏洞的通常是以下四个函数： 1、

ctf读取index.php,CTF/CTF练习平台-flag在index里【php://filter的利用】，ctf-flag

weixin_36121078的博客

03-10

2044

CTF/CTF练习平台-flag在index里【php://filter的利用】，ctf-flag原题内容：http://120.24.86.145:8005/post/Mark一下这道题，前前后后弄了两个多小时，翻了一下别的博主的wp感觉还是讲的太粗了，这里总结下自己的理解：首先打开这道题，页面只给你click me? no点击进去显示test5第一步，查看源代码，无果第二步bp，无果结合到题目...

合天网安实验室CTF-基础100-Flag就在这儿

MyCyber

06-08

1786

合天网安实验室CTF-基础100-Flag就在这儿题目描述嗯,什么东东？相信聪明的你一定会想到吧相关附件 misc100.txt 参考解题步骤 1、下载附件打开后是61366行每行3个数由逗号分隔，大部分是255，255，255 这里只截取了少部分 2、第一反应是坐标，觉得不合理，然后又想是不是RGB码，而RGB(255,255,255)对应的是白色，所以猜测可能是在白底上绘制了flag。那么现在要解决的是怎么将对应的图案绘制出来。想来不会这么简单，先提交试一下吧　　提示fla

ctf web3 30 flag就在这里快来找找吧http://123.206.87.240:8002/web3

MIGENGKING的博客

06-13

7805

这节我们来破解一个HTML密码。打开题目有提示“flag就在这里”的页面，总是打不开页面：这时我们可以按“Fn+F12”(或者按“ctrl+U”)直接查看页面源码：这是我们就需要把页面的HYML源代码在线解码一下（是解码！！）：但我们提交flag时提交（KEY{J2sa42ahJK-HS11III}）这里我们应该了解一些关于ctf常见代码： 1.Base32加密：例：KRUG...

必考C模块Linux获取flag(5)

weixin_43708659的博客

06-11

364

必考C模块Linux获取flag

【CTF-Crypto实战-2023红队】从乱码.txt文件获取flag

Cra_Thursday9527的博客

07-27

4460

复制该文本，用瑞士军刀打开，Output右边出现一个魔术棒，说明自动识别出了加密方式与编码字符集，点击魔术棒，得到flag。这次拿到的题目中只有一个.txt文件，直接双击打开文本后发现一堆啥也不是的东西。尝试各种直接解码无果后，用winhex查看二进制，发现其中几乎全是字母。推测该.txt文件存在编码问题，于是尝试用sublime打开。去掉所有回车（word也行）