Web
守护
解题思路:
点击start开始抓包分析,然后等到游戏失败,一直放包到抓取f1ag.php
在比赛群里的了解到需要达到1000分,接着修改record的值为1001,发到Repeater,点击Go,就得到了flag
地图
解题思路:
进去后发现是个高大上的界面,如下所示,不过fuzz之后,只有运维设备能点击
进去后是的界面的url是
http://183.129.189.60:10002/index.php
看见page,就把上面的url改成
http://183.129.189.60:10002/index.php?page=index.php
发现如下界面,多了个ok
而我再次用php内置协议直接读取代码
/index.php?page=php://filter/read=convert.base64-encode/resource=index.php
但是还是不行,给我返回来not base
最终,感觉是文件包含,所以就使用下面的url得到了flag
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达,可以邮件至 xingshuaikun@163.com。
