主页提示
F12看一下源代码发现 Archive_room.php 页面
点击 secret 按钮页面会跳转到 end.php
提示“没看清”,用 burp 抓包发现提示 secr3t.php
访问 secr3t.php 看到一小段源码
访问 flag.php 看到“我就在这里”的提示
所以思路是审计 php 代码片段,用文件包含漏洞读取 flag.php 源码,传入的 file 经过了一些过滤,但是仍可以使用 php://filter 获取文件,payload:http://5bdc0d10-b0a7-4f18-9983-09b5b9612be8.node3.buuoj.cn/secr3t.php?file=php://filter/convert.base64-encode/resource=flag.php 复制加密内容 base64 解密即可得到 flag
参考: