明裕学长的博客

我们放入ida查看逻辑发现只需要输入12345678即可输出flag。先使用exeinfope.exe查看是32位还是64位。所以只要将上面的进行替换后运行就可以得出flag。这题放入ida找打main函数按下f5查看伪代码。这题是一个二进制逆向首先我们使用upx进行脱壳。查看字符串拉到最底下即可发现flag。这里我们双击v7的值按下R键将它转换。更具提示这是一个栅栏密码并且为5栏。首先将文件扔ida64查看伪代码。拿到题后将1替换为-0替换为.将脱完壳后的文件用ida打开。打开后发现是一个小游戏。

举个例子，传入参数是flag.php，首先经过mb_strpos获取位数，为8.然后经过mb_substr截取flag.php的前八位，也就是flag.php。mb_substr() 函数返回字符串的一部分。substr() 函数，它只针对英文字符，如果要分割的中文文字则需要使用mb_substr()。函数过滤，就执行文件包含，否则就输出滑稽图片，而需要被包含的文件就是。返回一个包含对象所继承的基类元组，方法在解析时按照元组的顺序解析。这段代码的大意是获取传入的参数位数，然后截取前该位数的字符。

第一个打开是佛曰>解开后是rot13>解开又是base64。咱们这题直接当逆向直接7-zip提取用jd-gui打开。这样就找到了flag然后在base64解码。找到这一张残缺二维码将他手动修复。直接上convert 自动分离。

所以，这里我们既要保证输出$a，$b，又要保证$b是数字，那么就用到php的弱类型比较了。之后使用127.0.0.1|cat ../../../home/flag.txt。发现会自动重定向到1.php说明有问题我们打开开发者工具中的网络看看。我们在ping中127.0.0.1|ls../../../home/发现index.php确实存在接着我们就看到了flag。如果$a等于0 and $a，输出$flag1。如果$b>1234，输出$flag2。发现包含了config.php。这题其实就是一个命令注入。

这题需要去开发者工具中查看cookie然后发现cookie.php接着burp抓包看回显。打开后发现提示你知道index.php的文件名嘛？进去使用admin密码123456登录即可获得flag。爆破发现2333有数据我们改为2333进行访问。可以下载，我们利用文本查看得到。我们发现这里有一个参数尝试删除。构造payload:?都去点一下发现只有这个能进去。Burp抓包到爆破模块。常见的备份文件后缀名有。

在该题中存在robots.txt,存在目录泄露。所以我们利用它得到了flag的存放位置。

这道题，他将源码放在了phps中，我们需要先访问phps构建好payload后，在返回php传递数据。因为使用了url编码所以我们需要进行两次编码。连接里直接运行，浏览器会进行一次。解码，所以我们还要进行一次。