攻防世界web blgdel

2022-05-04 13:00:08 字數 1204 閱讀 1039

開啟環境 是這樣的乙個頁面

先註冊一下

個人頁面發現有個上傳頭像

這裡有沒有上傳漏洞呢 上傳試試

提示low  積分不夠。。。

在註冊的時候有個 推薦人。是不是這裡有什麼東西

我又註冊了乙個賬號

發現漲了 10分

多刷幾個使用者

上傳到**了

不知道   ,掃瞄目錄吧

有個uploads  有個robots.txt

有個目錄

找到 上傳的地方

發現 被替換了

看看config.txt

這一段**  替換我們的

做這個題之前我記得我做過乙個 上傳.htaccess 檔案的題

上傳乙個.htaccess檔案 

在同目錄下的 php檔案中讀取到 flag檔案名字

修改 .htaccess 檔案類容 讀出flag

得到flag

cyberpeace

攻防世界mfw 攻防世界 Web mfw

題目資訊 image.png 工具 githack,dirsearch 知識點 git漏洞 審計 開啟題目場景,檢查 發現這樣乙個頁面 image.png 訪問.git目錄,疑似存在git原始碼洩露 image.png 再用dirsearch掃瞄,發現git原始碼洩露 使用 githack獲取原始碼...

攻防世界Web lottery

開心!雖然第一次遇到git原始碼洩露寫了好久,但是寫出來了就很開心 開啟介面我們知道,要拿到flag,就要贏到足夠的錢,其實一開始我以為可以找到乙個地方直接修改餘額什麼的,把網頁源 中的檔案看了幾個都沒發現突破口 然後又沒思路了 嘗試了一下robots.txt,想看看有沒有什麼檔案,然後發現了 瞬間...

攻防世界 xctf Guess writeup

本題的解析官網上有,這裡是乙個自動化的指令碼,完成的是自動上傳乙個ant.jpg的檔案 ant.jpg是乙個ant.zip壓縮包重新命名的檔案,裡面是乙個ant.php的一句話木馬 執行返回的是在web後台這個檔案重新命名後的檔案的url。可通過zip偽協議訪問這個木馬。指令碼如下 import r...