[HNCTF 2022 WEEK2]easy_include 文件包含遇上nginx

这道纯粹记录 完全没想到

存在文件包含漏洞 过滤 data 等常见利用协议

然后我们看看能读取啥东西

发现啥都可以

那我们通过

[HNCTF 2022 WEEK2]easy_include 文件包含遇上nginx_第1张图片

这里泄露了中间件

那么我们直接去搜

发现存在一个文件日志包含漏洞

/var/log/nginx/access.log

看了看就是会解析php 所以直接传递参数即可传递一个phpinfo

[HNCTF 2022 WEEK2]easy_include 文件包含遇上nginx_第2张图片

成功执行 那么就直接开始吧 直接穿命令

得到flag

这个确实确实确实确实没想到 可以可以 又学到一个东西

你可能感兴趣的:(NSSCTF,nginx,android,javascript)