攻防世界-mfw-(详细操作)做题笔记

如有不对的地方,还请各位大佬指正,下面开始正式做题:攻防世界-mfw-(详细操作)做题笔记_第1张图片

 进入题目以后可以点击三个网页,这三个网页其中有一个提示我们git、php、Bootstrap、看到git的时候就可以联想到git泄露了,具体的git泄露知识请看这里:WEB安全-常见源码泄露 | wh1te

攻防世界-mfw-(详细操作)做题笔记_第2张图片

在网页后面添加http://111.200.241.244:58896/.git


攻防世界-mfw-(详细操作)做题笔记_第3张图片

可见存在git漏洞的,这时候就可以利用python的githacker库下载泄漏的文件。下载的系统是kali。

攻防世界-mfw-(详细操作)做题笔记_第4张图片

 我们用kali打开下载后的文档,发现当中有一个叫做flag的文档,但是查看以后发现什么都没有,应该是需要经过游览器特定的转换才能够看到该文件攻防世界-mfw-(详细操作)做题笔记_第5张图片攻防世界-mfw-(详细操作)做题笔记_第6张图片

翻阅了所有的文档以后并没有发现值得分析的文件,除了开头下载的index.php 文件中包含有代码部分攻防世界-mfw-(详细操作)做题笔记_第7张图片

查看代码前我们需要知道:

assert()函数其实是一个断言函数。

assert:

  这个函数在php语言中是用来判断一个表达式是否成立。返回true or false;

        assert ( mixed $assertion [, string $description ] ) : bool

  如果 assertion 是字符串,它将会被 assert() 当做 PHP 代码来执行。

strpos() 函数查找字符串在另一字符串中第一次出现的位置,如果没有找到则返回flase,




	
		
		
		
		
		My PHP Website
		
		
	
	
		
		
		

你可能感兴趣的:(攻防世界,web,高手篇,git,github)