never give up

打開連接查看源碼，發(fā)現(xiàn)有個提示1p.html，訪問1p.html發(fā)現(xiàn)很快就跳轉bugku論壇了，抓包發(fā)現(xiàn)有提示(沒找到的話? 在url前面加view-source:? ?查看1p.html源碼)，url解碼提示，發(fā)現(xiàn)還需要解碼，最終解碼之后得到代碼

直接訪問f4l2a3g.txt得到flag

welcome to bugkuctf

查看源碼，根據(jù)源碼構造?txt=php://input&file=hint.php 同時post welcome to the bugkuctf? 發(fā)現(xiàn)沒啥特別的結果，再構造?txt=php://input&file=php://filter/convert.base64-encode/resource=hint.php又得到一部分代碼

得到這個東西，但是感覺現(xiàn)在沒啥用處啊，那么肯定還隱藏一部分必須的代碼沒得到，用上面的方法查看index.php的內(nèi)容又得到一部分代碼

構造password的序列化，然后通過unserialize()反序列化讀出flag.php? 這是通過自己寫代碼得到的

然后構造?txt=php://input&file=hint.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}得到flag

過狗一句話

根據(jù)鏈接下面的提示，發(fā)現(xiàn)是這樣執(zhí)行的：assert($_GET['s'])，嘗試一下?s=phpinfo()，發(fā)現(xiàn)可以正常訪問，于是?s=print_r(glob("*"))查看文件列表（glob函數(shù)返回包含匹配文件的數(shù)組，*表示全匹配），發(fā)現(xiàn)一個flag.txt，于是?s=show_source("flag.txt")得到flag