CTF论剑场-文件包含

2019年8月3日23:18:37 发表评论 浏览量:312次

打开网页进去如下图,看起来是个上传。。。

CTF论剑场-文件包含

点击uploading a picture进去看看、、、

CTF论剑场-文件包含

发现可以上传,按照它的提示是我只可以上传png格式的图片,那咱们试试去
上传一个一句话木马,先试试水、、、

CTF论剑场-文件包含

CTF论剑场-文件包含

好了应burpsuite修改一下数据包试试。
修改Content-Type为 jpeg/png,数据包还是刚才的数据包,走起。。。

CTF论剑场-文件包含

然后我又测试了后缀的大小写还是不行,于是,我仔细一看URL,,,发现漏洞点好像不是上传,真的是,鄙视自己一万次。。。

CTF论剑场-文件包含

然后爆一下源码试试、、、

CTF论剑场-文件包含

果然,存在文件包含,那我直接试试flag,看看有没有这个文件。。。

CTF论剑场-文件包含

我勒个去,竟然真的有flag这个文件,然后转码看下这个东西是不是真的flag、、、

CTF论剑场-文件包含

哎,当看到这个flag之后,心里好空虚。。。。。。。

http://www.oniont.cn/index.php/archives/35.html

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: