題目描述這里有提示，初始頁面

進入題目頁面如下

很簡潔的頁面只有一行HELLO WORLD

ctrl+u查看了源碼也沒有信息

用burp suite抓包，并發送到重放器

根據提示（初始頁面）修改訪問index.php文件

---

index.php

index.php 是一種常見的網頁腳本文件

index.php 是 PHP 腳本語言編寫的文件，通常作為網站的默認首頁或重要的入口頁面。PHP 是一種廣泛應用于 Web 開發的服務器端腳本語言，能夠嵌入到 HTML 代碼中，實現動態網頁功能，如與數據庫交互、處理用戶輸入、生成動態內容等。

代碼注入漏洞

SQL 注入：如果 index.php 文件中存在對用戶輸入數據未進行充分過濾和驗證就直接用于數據庫查詢的情況，攻擊者可能通過在輸入字段（如登錄框、搜索框等）中輸入惡意 SQL 語句，來篡改或竊取數據庫中的數據。例如，攻擊者可以嘗試通過注入語句來獲取管理員賬號密碼，進而控制網站。

命令注入：當 index.php 調用系統命令或執行外部程序時，如果沒有對用戶輸入進行嚴格校驗，攻擊者可能會注入惡意命令，讓服務器執行非預期的操作，如刪除文件、修改系統配置等，嚴重威脅服務器的安全和穩定。

代碼注入：攻擊者可能嘗試通過漏洞將惡意 PHP 代碼注入到 index.php 中，若服務器執行了這些惡意代碼，可能導致網站被篡改、用戶數據泄露等嚴重后果。

文件包含漏洞：如果 index.php 使用了文件包含函數（如 include、require 等），且沒有對包含的文件路徑進行嚴格驗證，攻擊者可能利用這一點來包含惡意文件，從而執行惡意代碼。比如攻擊者通過構造特殊的 URL 參數，讓服務器包含服務器上其他敏感文件，獲取敏感信息。

跨站腳本攻擊（XSS）：若 index.php 在輸出用戶輸入內容到頁面時沒有進行適當的轉義和過濾，攻擊者可能會注入惡意腳本代碼。當用戶訪問該頁面時，瀏覽器會執行這些惡意腳本，從而竊取用戶的登錄憑證、個人信息等，或者進行釣魚攻擊，誘使用戶執行其他危險操作。

權限配置問題：如果服務器對 index.php 文件或其所在目錄的權限設置不當，可能導致文件被非法訪問、讀取、修改或刪除。例如，若文件權限設置為所有人都可寫，攻擊者就可能直接修改 index.php 文件內容，破壞網站的正常運行。

Hex

“Hex” 是 “Hexadecimal” 的縮寫，代表十六進制，是一種在數學和計算機領域廣泛使用的計數系統

十六進制由 0 - 9 這十個數字以及 A - F 這六個字母組成，其中 A - F 分別代表十進制中的 10 - 15。它逢十六進一，與我們日常生活中常用的十進制（逢十進一）有所不同。在十六進制中，一個數位可以表示 0 到 15 之間的數

在書寫十六進制數時，通常會在數字前面加上 “0x” 或 “#” 來表示這是一個十六進制數

在 Burp Suite 中，“Hex”主要用于對請求和響應數據進行十六進制的查看與編輯

---

提示Flag is hidden!說flag被藏了

在Hex中找到flag

flag{very_baby_web}?