当前位置:首页 > CTF > BUU > 正文内容

BUUCTF_web_第四题:[极客大挑战 2019]Havefun

七星3个月前 (01-21)BUU163


开局一直猫, flag全靠f12:

<!--

$cat=$_GET['cat'];

echo $cat;

if($cat=='dog'){

    echo 'Syc{cat_cat_cat_cat}';

}

-->

得到一段注释, 分析一下

先接收get传入的参数, 然后再输出, 然后if判断传入的内容是不是dog, 如果是, 则返回一个????假的flag??

先不管了,试试看dog吧, 直接get传参:

?cat=dog

得到flag???嗯,神奇.


qixingbit.com|七星比特

相关文章

BUUCTF_web_第六题:[ACTF2020 新生赛]Include

BUUCTF_web_第六题:[ACTF2020 新生赛]Include

发现是一道include的题, 啥提示也没有,点一下给个tips, 获取到一个?file=flag.php很自然想到了include可以把文件base64再读取文件:/?file=php:/...

BUUCTF_web_第七题:[极客大挑战 2019]Secret File

BUUCTF_web_第七题:[极客大挑战 2019]Secret File

f12, 获得Archive_room.php访问, 嗯, 他说什么什么快没看清, 不要紧, 我们可以让他慢下来开burpsuite, 抓取回显包, 得到secr3t.php访问,成功获得源码high...

BUUCTF_web_第九题:[GXYCTF2019]Ping Ping Ping

BUUCTF_web_第九题:[GXYCTF2019]Ping Ping Ping

是个ping, 传入/?ip=127.0.0.1看看命令执行, 立刻想到||管道符:/?ip=127.0.0.1||ls不行, 那就封号;/?ip=127.0.0.1;ls成功获得两个文件名flag....

BUUCTF_web_第二题:[强网杯 2019]随便注

BUUCTF_web_第二题:[强网杯 2019]随便注

第二题: [强网杯 2019]随便注 测试一下, 1'# 返回正常, 发现是字符注入,尝试show一下database: 1';show databases;%23 发现出结果了:...

BUUCTF_web_第一题: [HCTF 2018]WarmUp

BUUCTF_web_第一题: [HCTF 2018]WarmUp

第一题: [HCTF 2018]WarmUp f12, 注释里有个文件, 访问, 成功获得审计代码. 审计代码里有个hint.php, 打开, 成功获得ffffllllaaaagggg,...

BUUCTF_web_第16题:[极客大挑战 2019]Upload

BUUCTF_web_第16题:[极客大挑战 2019]Upload

上传图片, 很自然想到图片马, 那就传个:然后发现提示:NO! HACKER! your file included '<?'过滤了<?那就是试试php语言的另一种写法:接着提示:Don'...

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。