[HCTF 2018]WarmUp
wp-------Kuller_Yan
首先我们访问题目url 可以看到一个图片,查看源码之后可以发现source.php文件
访问source.php可以看到一串代码,便可以确定,php代码审计,查看所给代码,分析出,一开始,给出白名单
然后是一个判断,判断page中是否包含白名单,然后将page截取从0到‘?’ ,再进行一次白名单判断
然后对page进行url加密,再进行白名单判断。
所以构建paylodesource.php?file=source.php%253F/../../../../ffffllllaaaagggg
flag 就出来了
