開啟環境 是這樣的乙個頁面
先註冊一下
個人頁面發現有個上傳頭像
這裡有沒有上傳漏洞呢 上傳試試
提示low 積分不夠。。。
在註冊的時候有個 推薦人。是不是這裡有什麼東西
我又註冊了乙個賬號
發現漲了 10分
多刷幾個使用者
上傳到**了
不知道 ,掃瞄目錄吧
有個uploads 有個robots.txt
有個目錄
找到 上傳的地方
發現 被替換了
看看config.txt
這一段** 替換我們的
做這個題之前我記得我做過乙個 上傳.htaccess 檔案的題
上傳乙個.htaccess檔案
在同目錄下的 php檔案中讀取到 flag檔案名字
修改 .htaccess 檔案類容 讀出flag
得到flag
cyberpeace
攻防世界mfw 攻防世界 Web mfw
題目資訊 image.png 工具 githack,dirsearch 知識點 git漏洞 審計 開啟題目場景,檢查 發現這樣乙個頁面 image.png 訪問.git目錄,疑似存在git原始碼洩露 image.png 再用dirsearch掃瞄,發現git原始碼洩露 使用 githack獲取原始碼...
攻防世界Web lottery
開心!雖然第一次遇到git原始碼洩露寫了好久,但是寫出來了就很開心 開啟介面我們知道,要拿到flag,就要贏到足夠的錢,其實一開始我以為可以找到乙個地方直接修改餘額什麼的,把網頁源 中的檔案看了幾個都沒發現突破口 然後又沒思路了 嘗試了一下robots.txt,想看看有沒有什麼檔案,然後發現了 瞬間...
攻防世界 xctf Guess writeup
本題的解析官網上有,這裡是乙個自動化的指令碼,完成的是自動上傳乙個ant.jpg的檔案 ant.jpg是乙個ant.zip壓縮包重新命名的檔案,裡面是乙個ant.php的一句話木馬 執行返回的是在web後台這個檔案重新命名後的檔案的url。可通過zip偽協議訪問這個木馬。指令碼如下 import r...