吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 685|回复: 7
收起左侧

[求助] 一个CTF web题目,求大佬指导

[复制链接]
GoogleHacking 发表于 2024-4-6 17:43
本帖最后由 GoogleHacking 于 2024-4-6 18:12 编辑

题目地址:
47.99.114.3:30308



先用dirb扫了一遍,然后发现有个flag.php是200,然后打开发现是空白页,后来又用菜刀链接地址,结果显示返回数据为空,一时间找不到解题思路了

题目页面如下:

1BEDEA632F644B705EDEA625E865562A.png C9F13DB9E79CB4FFBD530115C64FAE85.png


求大佬指导,题目链接挂掉请及时回复我,

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

btc001 发表于 2024-4-6 18:11
挂掉了  正常来说 可以利用assert 函数来构造读取任意文件的内容
[PHP] 纯文本查看 复制代码
post['cmd']=file_get_contents('flag.php');
 楼主| GoogleHacking 发表于 2024-4-6 18:12
btc001 发表于 2024-4-6 18:11
挂掉了  正常来说 可以利用assert 函数来构造读取任意文件的内容
[mw_shl_code=php,true]post['cmd']=file ...

大哥还在不?我再给开开
 楼主| GoogleHacking 发表于 2024-4-6 18:13
btc001 发表于 2024-4-6 18:11
挂掉了  正常来说 可以利用assert 函数来构造读取任意文件的内容
[mw_shl_code=php,true]post['cmd']=file ...

靶场地址:47.99.114.3:30308
 楼主| GoogleHacking 发表于 2024-4-6 18:14
btc001 发表于 2024-4-6 18:11
挂掉了  正常来说 可以利用assert 函数来构造读取任意文件的内容
[mw_shl_code=php,true]post['cmd']=file ...

直接用hackbar输入post吗?
btc001 发表于 2024-4-6 18:25
[PHP] 纯文本查看 复制代码
$flag="4297f44b13955235245b2497399d7a93";


直接一句话 cmd 123随便设置就行了啊

连接进去 查看flag.php就行
你好,再见 发表于 2024-4-6 20:33
题目地址打不开了哦
uliaxs0n 发表于 2024-4-7 00:15
题目进不去了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-13 00:49

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表