[CTF/网络安全] 攻防世界 PHP2 解题详析

news/2024/3/4 10:11:02

[CTF/网络安全] 攻防世界 PHP2 解题详析

    • index.php
    • .phps扩展名
    • 姿势

在这里插入图片描述
翻译:你能给这个网站进行身份验证吗?


index.php

index.php是一个常见的文件名,通常用于Web服务器中的网站根目录下。它是默认的主页文件名,在访问一个网站时,如果没有特别指定页面文件名,则服务器会自动加载index.php文件。

在Web应用程序中,index.php文件通常是网站的入口文件。它包含了处理用户请求的代码,与数据库进行交互并生成页面的相关内容等,同时,它是连接后端逻辑与前端界面的桥梁之一。


在这里插入图片描述无回显


.phps扩展名

.phps扩展名是PHP的一种特殊模式,也称为PHP源代码查看器,它会以类似HTML的方式显示PHP代码,并对代码进行高亮处理。这种特殊模式通常用于演示和共享PHP代码,而不是作为生产环境中的主要文件扩展名。


GET/index.phps ,回显如下:在这里插入图片描述这段代码将HTTP请求中的id参数解码后与字符串admin进行比较。如果它们相等,则输出授权访问,并显示一个密钥值

姿势

由于浏览器会对GET参数进行一次URL解码,urldecode函数会对参数进一步进行URL解码。将admin进行两次URL编码,再GET传参即可。
adminURL编码—>%61%64%6D%69%6EURL编码—>%2561%2564%256D%2569%256E

在这里插入图片描述


解题结束,本文涉及知识点为.phps浏览器对于参数的解码
我是秋说,我们下次见。


http://www.ppmy.cn/news/76342.html

相关文章

性能测试——系统性能数据收集和Prometheus 监控系统部署应用实战

系统性能数据收集和Prometheus 监控系统部署应用实战 一、部署性能监控工具 node-exporter1、拉取镜像2、启动容器:3、配置prometheus.yml4、重启prometheus系统,检查node-exporter targets数据是否显示正常 二、Prometheus 监控系统部署应用实战1、实战…

【设计模式与范式:创建型】41 | 单例模式(上):为什么说支持懒加载的双重检测不比饿汉式更优?

从今天开始,我们正式进入到设计模式的学习。我们知道,经典的设计模式有 23 种。其中,常用的并不是很多。据我的工作经验来看,常用的可能都不到一半。如果随便抓一个程序员,让他说一说最熟悉的 3 种设计模式&#xff0c…

阿里下放自动驾驶,汽车业务是个坑,或是时候探讨下一个乐视了

阿里发布公告指达摩院自动驾驶团队将全部并入菜鸟集团,虽然并没有说关闭自动驾驶业务,但是自动驾驶业务已不再是阿里看重的业务,导致如此结果在于当前汽车行业发生的重大变化。 一、传统汽车开始发力 今年4月份的新能源汽车企业销量排名数据显…

基于Gitee的webhook编写hugo的自动构建实现博客自动更新

前言 差不多半年前趁着某云优惠,我买了5年的轻量级应用服务器。 拿着这个服务器原本打算做我的某个APP的服务端的,后来又觉得迁移数据好麻烦,所以随便搞了个博客上去。 选来选去,使用了 hugo 作为构建引擎。 正好,…

《封号码罗》关于js逆向猿人学第二题cookies里面m值的获取[纯扣算法](二十六)

这一题有点儿误打误撞的感觉。 本题使用了抓包工具Fiddler,m值在cookie里面,而且这个cookie是本地生成的 抓包发现有两次请求,第一次返回了一堆JS,而且cookie里面没有m值,第二次请求就带上了m值,所以m应该…

单模光纤一维模场分布的MATLAB仿真

根据已知的单模光纤电场z分量分布,可以用MATLAB展示一维的模场分布 具体来说,通过数值计算解出给定光纤(n_1,n_2,a)参数时对应的V参量 通过特征方程解出V对应的W和U 通过这三个参数带入到光场的表达式中…

微信小程序自定义tabBar

1.app.json中tabBar里设置 "custom":true 设置好后就可使用自定义tabBar。 注意:list中的页面必须保存,且必须和自定义的tabBar页面数据一致 "tabBar": {"custom": true,"list": [{"pagePath": &q…

无距离障碍:远程桌面Ubuntu实现全球办公

目录 前言 视频教程 1. ubuntu安装XRDP 2.局域网测试连接 3. Ubuntu安装cpolar内网穿透 4.cpolar公网地址测试访问 5.固定域名公网地址 [TOC] 转载自远程穿透文章:Windows通过RDP异地远程桌面Ubuntu【内网穿透】 前言 XRDP是一种开源工具,它允许…

leetcode 数据库题 196,197,262,511,550,570

leetcode 数据库题第二弹 196. 删除重复的电子邮箱197. 上升的温度262. 行程和用户511. 游戏玩法分析 I550. 游戏玩法分析 IV570. 至少有5名直接下属的经理577. 员工奖金小结 196. 删除重复的电子邮箱 题目地址:https://leetcode.cn/problems/delete-duplicate-emai…

基于大模型GPT,如何提炼出优质的Prompt

基于大模型实现优质Prompt开发 1. 引言1.1 大规模预训练模型 2. Prompt开发2.1 Prompt基本定义:2.2 为什么优质Prompt才能生成优质的内容2.3 如何定义优质的Prompt 3. Prompt优化技巧3.1 迭代法3.1.1 创作评估3.1.2 基础创作3.1.3 多轮次交互 3.2 Trick法3.2.1 戴高…

实战演练 | Navicat 数据生成功能

数据生成的目的是依据某个数据模型,从原始数据通过计算得到目标系统所需要的符合该模型的数据。数据生成与数据模型是分不开的,数据生成的结果应该符合某个数据模型对于数据的具体要求。所以,随着数据模型的发展,数据生成的方法相…

java设计模式之适配器设计模式的前世今生

适配器设计模式是什么? 适配器设计模式是一种结构型设计模式,它允许将不兼容的类的接口转换为可相互之间进行协同工作的适配器。 适配器设计模式的主要作用是实现两个不兼容接口之间的数据转换,使得客户端可以独立于被适配者的接口&#x…

Win 10配置VPN代理时遇到的问题:500 Internal Privoxy Error

在启动某VPN客户端后,打开chrome浏览器时,页面提示以下错误: 500 Internal Privoxy Error Privoxy encountered an error while processing your request: Could not load template file no-server-data or one of its included components.…

@Retention @Target 自定义注解

Target注解常用参数含义: ElementType.TYPE:可以用于类、接口和枚举类型。 ElementType.FIELD:可以用于字段。 ElementType.METHOD:可以用于方法。 ElementType.PARAMETER:可以用于方法的参数。 ElementType.CONST…

推荐一个AI导航网站 - 收录的都是热门AI工具

AI导航 | AI工具 | AI之旅导航是只收录最新最实用AI工具的人工智能导航网站 最近半年使用了大量的AI人工智能工具,收藏夹已经收藏不过来了。 所以搭建这个导航网站,管理所有收藏的热门AI网站,同时像大家分享, 网站没有任何广告…

ChatGPT Plus 插件最全解读

前言: OpenAI放出大招,向所有ChatGPT Plus用户开放联网功能和众多插件,允许ChatGPT访问互联网并使用70个第三方插件。 本批第三方插件能够全方位覆盖衣食住行、社交、工作以及学习等日常所需,基本上能够扮演24小时私人助理的角色…

什么是 Spring?为什么学它?

前言 欢迎来到本篇文章!在这里,我将带领大家快速学习 Spring 的基本概念,并解答两个关键问题:什么是 Spring,以及为什么学习 Spring。 废话少说,下面,我们开始吧! Spring 官方文档…

u盘里删除的文件怎么恢复

U盘是我们使用电脑过程中经常会用到的存储设备,但是在使用过程中,我们往往会因为误操作或病毒感染等导致重要文件被删除,如果遇到这种情况,我们该怎么办呢?u盘里删除的文件怎么恢复呢?接下来,本文将为您介绍一些关于…

外围信息搜集-渗透测试模拟环境(1)

外围信息搜集属于情报搜集技术之一,本篇将介绍外围信息搜集的渗透模拟环境下整理的各类收集方法、各类工具技术使用的演示 。 往期系列文章: 渗透攻防环境搭建与攻防知识体系思维导图 渗透模拟环境配置和工具介绍-渗透测试模拟环境(0)_luozhonghua2000的博客-CSDN博客 外围…

​年轻人的情绪,都藏在知乎的短故事里

“谢邀,与世界分享我刚编的故事。” 这是一句在知乎被调侃的老梗。它源自于知乎上有众多隐匿的大佬,他们经历过各种奇闻轶事,也乐于分享传奇的人生经历,而这其间,很多真假难辨的事迹,也被很多用户笑称可以当…
最新文章