抓包发现参数是url，猜测ssrf

无回显,测试无果

注意到后面的目录没有php字样，应该不是php写的，有可能是py或者node.js

我试了试文件包含

？？？？？？？？？我甚至都没用目录穿越

这不傻逼么

题目应该没那么简单，我去搜搜wp

果然没那么简单

先读去绝对路径

/proc/self/cmdline

python2 写的flask

读源码，代码审计

看到page这个路由

这个东东冒得用，就禁了个file协议

但是我输入file也没给弹hacker，这我就很疑惑

直接看到最后一个路由

根据源码

不难想到flag一定在这里面

而/no_one_know_the_manager页面，必须让我们传入的key等于flag才可以执行命令

而我们发现他打开了txt文件却没有关闭！！！！

v&n的内部赛也提到了这点

https://blog.csdn.net/SopRomeo/article/details/105653176

linux里如果没有关闭文件会放在内存里，就算你remove掉了在/proc/[pid]/fd下还是会保存

这个我们需要爆破

fd目录下保存的文件都是以数字存储的，直接bp爆破

/proc/self/fd/*

针不戳

然后直接无回显rce

他