题目
让你玩魔方,没找他其他页面
过程
1.对原页面抓包,重发看到源码,看到三个关键点,一个是看到了上传点,一个是看到flag所在位置,服务器是openresty,一个java的站
2.没有上传点,联想到已知flag所在位置,使用一下文件包含
里面左边preview的格式是/preview?f= 尝试文件包含漏洞
由于是使用OpenResty,尝试包含nginx的配置文件,默认是
/etc/nginx/conf.d/default.conf
被过滤了,然后有一个很隐秘的提示,双写。
3.试了好几遍,才在f1ag_Is_h3re后面加了一个flag
版权声明:本文为CSDN博主「浩歌已行」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_43801002/article/details/107622090
原文来自CSDN博主「浩歌已行」|侵删
。想加入我们就给我们留言吧
。
原文始发于微信公众号(寰宇卫士):virink_2019_files_share-解题步骤详解
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论