目录
A Dark Room
打开环境
先查看源码,拉到最后看到flag
Aura 酱的礼物
第一层看见file_get_contents()函数,想到文件包含,可以用伪协议,一般是php://input,但是这里是post传参,就用data://,是一样的,当它与文件包含函数结合时,用户输入的 data:// 流就会被当作 php 文件执行
第二层要求不能等于 0 ,也就是说在传入的 $challenge 里需要到 'http://jasmineaura.github.io',并且位置是开头,才会是返回的 0,直接传就可以了
补充:
strpos() 函数用于查找字符串在另一字符串中第一次出现的位置,其返回值是字符串在另一字符串中第一次出现的位置,注意字符串位置是从 0 开始的,如果没有找到字符串则返回 FALSE。
第三层读取 $challenge 这个文件,准确来说这里的 $challenge 是一个文件的路径,然后将读到的内容存入字符串 $blog_content 里,再次使用 strpos 函数查找,要求在内容里能找到 '已经收到Kengwang的礼物啦',因为如果找不到就会返回 false。前面要求 $challenge 的开头必须是 'http://jasmineaura.github.io',data:// 协议不能用了,看了别人的wp发现是一个ssrf漏洞,可以通过@绕过
补充:
file_get_contents() 函数是用于将文件的内容读入到一个字符串中的首选方法
第四层是 include 文件包含,直接伪协议就好了,用 php://filter 读文件源码
回显的这一串是base64加密后的flag
解码后得到flag
HTTP 是什么呀
打开看到应该是要通过一步步传参得到flag
第一步是get传参,上传后发现这里有个%00被当作url编码转成空了,所以需要将%00进行url编码
可以用bp的编码工具
接下来是第二步post传参
然后是cookie
UA
Referer
最后是IP,可以抓包,通过XFF伪造地址
发包后看到下面这个界面
查看源码什么都没发现,重新抓包,放到重放器中
可以看到回显中有一串base64的编码
解码后得到flag
md5绕过欸
打开可以看到有两个md5绕过,一个是get传参,一个是post传参;get传参那个是弱比较,post传参那个是强比较
都可以通过数组绕过,直接得到flag
喵喵喵´•ﻌ•`
打开题目看到报错关闭,需要get传参
并且题目提示需要执行系统命令,所以直接用system查看目录
当前目录下文件有这些,没看见flag,直接查看根目录
发现flag,用cat命令查看
得到flag
扫一扫
3213
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
