潍坊建设公司网站,济南网站建设富库网络,德阳房产网,网络营销与直播电商专业学什么总结几道国庆写的web题目
[ACTF2020 新生赛]Include1 点进去发现就一个flag.php,源代码和抓包都没拿到好东西
结合题目猜是文件包含#xff0c;构建payload ?filephp://filter/readconvert.base64-encode/resourceflag.php 得到base64编码过的flag#xff0c;解码即可 此题…总结几道国庆写的web题目
[ACTF2020 新生赛]Include1 点进去发现就一个flag.php,源代码和抓包都没拿到好东西
结合题目猜是文件包含构建payload ?filephp://filter/readconvert.base64-encode/resourceflag.php 得到base64编码过的flag解码即可 此题结束
[ACTF2020 新生赛]Exec
打开是一个ping的界面输入地址后加上分号可以运行我们的代码 那么构建语句抓取主页面的代码 尝试去找flag文件 打开flag文件 此题结束
[GXYCTF2019]Ping Ping Ping
点开叫你输入ip那就先随便扔一个进去试试 和上一题差不多的套路一样试试能不能分号结束语句执行命令 答案是可以打开flag.php看看 没东西老样子浏览目录 也不行猜测是有过滤.测试下来/和空格都是被过滤掉了的
用$IFS$1代替空格试试 一样不行换index试试 终于有东西了从这里可以看见把特殊字符都过滤完了 这个语句是过滤这样的东西 f*****l****a****g 只要是按顺序出现flag四个字母的都不行
那就拿个拼接来解决问题 ?ip1.1.1.1;aag;bfl;cat$IFS$1$b$a.php; 不知道为啥全在源代码里才能看见我cat的文件
此题结束
