直接去 /flag 會被 redirect 到影片去

目標： 演示如何利用 Windows 內建的 certutil.exe 工具，執行檔案下載、Base64 編碼/解碼（這個是為了規避偵測），以及將檔案隱藏到 NTFS 替代資料流 (Alternate Data Stream, ADS) 中，最後嘗試從 ADS 執行。

登入頁面的sqli 可以先試試 '-- 發現會噴錯

發現這題的path traversal重點在這個區間

payload: getattr(import(‘o’+‘s’), ‘po’+‘pen’)(‘tac${IFS}‘+chr(47)+‘fl*‘).read()

先看一下網頁給的資訊

image

image 反白就可以找到flag