国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

BCNSCTF writeup

hufeng / 468人閱讀

摘要:這個題目原型是的任意文件包含漏洞發現源碼不為空是字符串上面定義的方法返回值為真

[toc]

Web warm up

這個題目原型是phpmyadmin4.8.1的任意文件包含漏洞
發現源碼

 "source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can"t see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . "?", "?")
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . "?", "?")
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can"t see it";
            return false;
        }
    }

    if (! empty($_REQUEST["file"]) 不為空
        && is_string($_REQUEST["file"]) 是字符串
        && emmm::checkFile($_REQUEST["file"]) 上面定義的checkfile方法返回值為真
    ) {
        include $_REQUEST["file"];
        exit;
    } else {
        echo "
"; } ?>

payloadhint.php?/../../../../../ffffllllaaaagggg

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/31727.html

相關文章

  • WriteUp – 2018年“華為杯”極客出發XMan冬令營線上CTF選拔賽

    摘要:第二題返老還童拿到之后丟進,發現只有,代碼,沒有。仔細觀察發現,以上坐標可以對應坐標系中的一個九宮格。有點腦洞,把九個坐標編好數字,然后按照坐標給出的順序寫數字就是答案。 Mobile 第二題:返老還童(1000pt) 拿到apk之后丟進JEB,發現只有.class,java代碼,沒有so。整個apk的class文件結構如下: a.a.a com.reverse.daydayup.a ...

    young.li 評論0 收藏0

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<