ctfshow_1024

1024_图片代理

打开网页可以感觉到这个GET提交的参数是base64编码的。

这里去base64网站解码发现是一个网址然后加载图片的，这时候我们想到文件包含
这里我们先试一下读一下本地的/etc/passwd，这里注意一下要base64编码一次.
先看一下伪协议的用法。

这里看密码文件发现是个nginx的网站.

尝试直接读取file:///flag，没有回显，然后就懵逼了hhh，考虑下其他方面，比如默认的配置文件啥的，因为前面读密码的时候读出了是nginx这里我们访问一下,关于nginx路径可以看看这篇文章nginx文件路径

这里打过去发现一个包含文件

然后发现一些关键的配置信息

root         /var/www/bushihtml;
index        index.php index.html;
fastcgi_pass   127.0.0.1:9000;

不难想到一个利用点Gopher打fastcgi
参考文章:
SSRF利用 Gopher 协议拓展攻击面
Fastcgi协议分析
利用条件
Gopherus项目地址
flag就出来了。