百度杯”CTF比赛 2017 二月场 没错!就是文件包含漏洞。

Posted bohb-yunying

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了百度杯”CTF比赛 2017 二月场 没错!就是文件包含漏洞。相关的知识,希望对你有一定的参考价值。

 题目源码:技术图片

文件包含漏洞的话,看一下

技术图片

你么可以使用php://input 伪协议,执行代码(参考了大佬WP)这里使用了POSTMAN,

技术图片技术图片

目录下还有一个dle345aae.php文件,呢么用cat命令打开,并且输出文件内容(反单引号在linux中表示命令)

技术图片

 

技术图片

还有一种方法是用php://filter直接读取dle3456aae.php的源码,然后再base64解码

技术图片

技术图片

 

以上是关于百度杯”CTF比赛 2017 二月场 没错!就是文件包含漏洞。的主要内容,如果未能解决你的问题,请参考以下文章

百度杯WriteUp

百度杯

i春秋CTF-“百度杯”CTF比赛 九月场 XSS平台

猥琐百度杯猥琐CTF

百度杯ctf--第一场--upload

百度杯 十月场 登陆