摘要: 进入主页面是一个计算器,可以计算 右键源代码发现提示信息,javascript脚本,其中还有calc.php文件 注释说明了这里引入了waf 尝试访问calc.php 是一道命令执行,尝试输入phpinfo();进行命令执行 提示Forbidden,被拒绝了,应该是被waf拦截了,经过多次尝试发现 阅读全文
posted @ 2022-09-06 15:33 Junglezt 阅读(381) 评论(1) 推荐(0) 编辑
摘要: 进入后提示我们网页有备份文件,这边使用爆破工具,网页会down掉 随便随便猜了一下www.zip,成功下载源码 常见的网页备份有 .git ~ .swp .swo .bak .zip 还不知道是什么题目,解压www.zip 发现一些文件,挨个查看,首先查看flag.php,可以并没有flag <?p 阅读全文
posted @ 2022-09-06 11:13 Junglezt 阅读(86) 评论(0) 推荐(0) 编辑
摘要: 进入可以看到,这时一道文件上传题目 直接上传test.php 提示Not image不是图片,可能是MIME绕过,尝试抓包修改Content-Type 提示Not php,猜测可能是检测后缀名不能是php,将test.php改名为test.phtml进行上传 根据上传提示,不能有<?应该是检查了我们 阅读全文
posted @ 2022-09-06 09:49 Junglezt 阅读(406) 评论(0) 推荐(1) 编辑
摘要: 进入题目,可以看到是一个小型的网站 这里我也走了很多弯路,题目提示为HTTP,这里就可以在源码中找一些隐藏信息 搜搜.php可以看到有一个Secret.php 进入提示It doesn't come from 'https://Sycsecret.buuoj.cn' 意思就是我们不是来自https: 阅读全文
posted @ 2022-09-06 09:09 Junglezt 阅读(299) 评论(0) 推荐(0) 编辑