[ACTF2020 新生赛]BackupFile
根据提示,是备份文件泄露
备份文件参考泄露文献
.rar
.zip
.7z
.tar.gz
.bak
.swp
.txt
.html
以上是备份文件后缀,我试了下www.zip不行,应该是别的,于是用dirsearch扫描目录
看到bak的后缀,下载源码
代码审计
简单的弱类型绕过
php中两个等于号是弱等于,GET请求传参即可得到flag
根据提示,是备份文件泄露
备份文件参考泄露文献
.rar
.zip
.7z
.tar.gz
.bak
.swp
.txt
.html
以上是备份文件后缀,我试了下www.zip不行,应该是别的,于是用dirsearch扫描目录
看到bak的后缀,下载源码
代码审计
简单的弱类型绕过
php中两个等于号是弱等于,GET请求传参即可得到flag