BUUCTF:[BSidesCF 2020]Had a bad day
BUUCTF:[BSidesCF 2020]Had a bad day
可能存在SQL注入或者文件包含,在我尝试读取index.php
源码的时候出现了报错信息
的确是文件包含,但是有index.php
却读取错误,报错显示无法打开流:操作失败在后面测试的时候,发现除掉后缀即可读取到源码
base64解码读取源码
<?php$file = $_GET['category'];if(isset($file)){if( strpos( $file, "woofers" ) !== false || strpos( $file, "meowers" ) !== false || strpos( $file, "index")){include ($file . '.php');}else{echo "Sorry, we currently only support woofers and meowers.";}}?>
传入的category
需要有woofers
,meowers
,index
才能包含传入以传入名为文件名的文件,我们要想办法包含flag.php
尝试直接读取/index.php?category=woofers/../flag
出现了别的内容,包含成功了flag.php
,但是这里也说了flag需要读取
利用php://filter伪协议可以套一层协议
读取flag.php
/index.php?category=php://filter/convert.base64-encode/index/resource=flag
套一个字符index
符合条件并且传入flag,读取flag.php
BUUCTF:[BSidesCF 2020]Had a bad day相关推荐
- BUUCTF WEB [BSidesCF 2020]Had a bad day
BUUCTF WEB [BSidesCF 2020]Had a bad day index.php?category=woofers' 报错 Warning: include(woofers'.php ...
- BUUCTF Web [BSidesCF 2020]Had a bad day1
[BSidesCF 2020]Had a bad day1 启动靶机,打开burp,点击WOOFERS抓包 可以看到请求中有个meowers的参数,在后面加个'测试 通过报错信息可以看出,catego ...
- BUUCTF [BSidesCF 2020] Had a bad day
BUUCTF [BSidesCF 2020] Had a bad day 考点: php伪协议嵌套 启动环境: 其中包含两个按钮,选择猫和狗的图片: 此时的URL变为: http://xxx/inde ...
- 逆向迷宫题总结(持续更新) 2020华南师大CTF新生赛maze,攻防世界新手区:NJUPT CTF 2017,BUUCTF:不一样的flag
CTF逆向入门:迷宫题学习记录(持续更新) ** 目录 **CTF逆向入门:迷宫题学习记录(持续更新)** (前言) 一. 逆向迷宫题概述 二. 具体题目分析 1. 2019华南师大CTF新生赛maz ...
- buu做题笔记——[WUSTCTF2020]朴实无华[BSidesCF 2020]Had a bad day
BUU [WUSTCTF2020]朴实无华 robots.txt response level 1 level 2 level 3 [BSidesCF 2020]Had a bad day [WUST ...
- MAML-Tracker: 目标跟踪分析:CVPR 2020(Oral)
MAML-Tracker: 目标跟踪分析:CVPR 2020(Oral) Tracking by Instance Detection: A Meta-Learning Approach 论文链接:h ...
- AI顶会组团“改版”:NeurIPS 2020宣布deadline延期三周
关注上方"深度学习技术前沿",选择"星标公众号", 资源干货,第一时间送达! 对于在新冠疫情中被迫在家无法前去实验室的研究者们,这是个好消息--昨天,一封 Em ...
- 数据算法竞赛:ICDM 2020 TOP3方案
写在前面的话 大家好,我是炼丹笔记的小编,作为一名炼丹侠,这次为大家带来的分享是我们在2020 ICDM Knowledge Graph Contest中的获奖方案和在ICDM2020 Worksho ...
- 【报告分享】2020大中华区人工智能成熟度调研:解码2020,展望数字未来.pdf(附下载链接)...
大家好,我是文文(微信:sscbg2020),今天给大家分享安永和微软于2020年10月联合发布的报告<2020大中华区人工智能成熟度调研:解码2020,展望数字未来.pdf>,希望对您有 ...
最新文章
- Apache2.4+Tomcat7集群搭建
- mysql深入使用教程_深入mysql基础知识的详解
- 演示:混合配置基于Linux winows cisco环境动态路由
- 探秘!在阿里云做产品经理是怎样的体验?
- wordpress中非插件统计文章浏览次数
- 亲历2013年TED大会:全球最潮灵感大会
- 后端开发:数据持久化框架为什么放弃Hibernate、JPA、Mybatis,最终选择JDBCTemplate!...
- linux关机命令_Linux基于centOS 7.6常见的Linux命令
- 【MySQL】MySQL USE 库的时候报错 Reading table information for completion of table and column names
- 猜数游戏python_零基础掌握Python入门到实战
- Lua 中的 function、closure、upvalue
- wpf 自动完成comboxBox
- [springboot]集成org.quartz-scheduler进行任务调度(定时任务)
- xtu DP Training C.炮兵阵地
- vscode设置字体
- Mac无法连接wifi和手机热点 解决方法
- vue报错 | Duplicate keys detected: ‘0’. This may cause an update error.
- 上海的211大学中计算机,上海有哪些211大学
- 安装Ubuntu虚拟机
- Android自定义相机实现定时拍照