m0_62107966的博客

踩坑：frp开启失败connect: no route to host解决

考察php函数漏洞，有md5、sha1、intval、非法参数名NS_CTF.go绕过、无数字字母绕过。第五层 绕无数字字母，使用或绕过即可。要先通过find命令找到flag文件，最后在cat获取即可。第四层是非法参数名NS_CTF.go的解决， 将。首先第一层if要绕md5，用数组即可。第二层是sha1绕过，用碰撞码绕过。第三层是绕intval 使用小数即可。第五层 绕无数字字母，使用或绕过即可。要先通过find命令找到flag文件，最后在cat获取即可。("%13%19%13%14成功拿到flag。

在MYSQL5.6以上的版本中，inndb增加了innodb_index_stats和innodb_table_stats两张表，这两张表中都存储了数据库和其数据表的信息，但是没有存储列名。这里因为回显出来的位数是2，3，我直接查看的第二列，内容如下。数据库保存着mysql所有其他数据库的信息，包括了数据库名，表名，字段名等，无列名注入。适用条件information_schema 数据库跟 performance_schema 一样，都是 MySQL 自带的信息数据库。其中 performance_

查看源代码，拿到flag。

web
welcome to 海啸杯
查看源代码，拿到flag。

HXBCTF{welcome _to_HXB}
极客邀请函
考点：SQLite get shell、SUID提权

查看网页源码，看到注释里的PHP代码

\u003C?php
class MyDB extends SQLite3
{
function __construct()
{
$this->open('./test.db');
}
}
$db = new MyDB();
if(!$db){

[网鼎杯 2020 青龙组]AreUSerialz BUUCTF可以用来读取文件， if($this->op === "2") # 使用强类型比较 这里是个强类型比较，令$op=2即可满足 $this->process();(ord($s[$i]) >= 32 && ord($s[$i]) op === "2") # 使用强类型比较。if($this->op == "1") { # 写入文件。if(isset($_GET{'s

buuctf [极客大挑战 2019]LoveSQL3的时候没反应，4的时候报错，证明字段就是只有3个。接着就是常规的sql注入，没过滤什么东西。flag在后面那个表里面的。查字段，拿到flag。

使用malloc分配空间给*head、*p指针，创立一个带头结点的指针，然后定义一个用来开辟新节点的指针*s，使用malloc函数给他分配空间，并给用s->data给新结点的数值域赋值，再使用p->next=s将新结点连接到p的后面。．插入元素操作：将新元素x插入到单链表head的头部、将新元素x插入到单链表head的尾部、将新元素x插入到单链表head中第i个元素之后。指向要删除的那个元素所在结点的,p指向前驱结点，使用p->next=q->next语句删除。．创建一个带头结点的单链表。

BUUCTF [安洵杯 2019]easy_serialize_phpphp反序列化时，当一整段内容反序列化结束后，后面的非法字符将会被忽略，而如何判断是否结束呢，可以看到，前面有一个a:3，表示序列化的内容是一个数组，有三个键，而以{作为序列化内容的起点，}作为序列化内容的终点。所以此时后面的";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}在反序列化时就会被当作非法字符忽略掉，导致我们可以控制$userinfo["img"]的值，达到任意文件读取的效

BUUCTF [GXYCTF2019]Ping Ping Ping easywill`ls`即可解释为输出index.php以及flag.php的内容，那么flag就可以输出出来了。cat获取文件内容，过滤了flag，所以flag.php无效，但可以访问index.php，查看源码。发现有两个文件，一个是flag.php，另一个是index.php。考点：ping命令相关命令执行。过滤了很多东西，包括flag。这里过滤了flag和空格。使用ls命令查询目录。

BUUCTF之 [HCTF 2018]admin-----这里的ckj123等下使用脚本时是需要用来作为参数的。刚刚以 1 用户登进去后给了个session源代码的意思是：用户如果以admin的身份登录，就直接可以拿到flag了，所以直接注册账号为admin，密码为123就成功拿到flag了。如果使用脚本的话，就需要伪造session为admin登陆的时候。使用脚本解密，脚本命名为session解密.py运行得到：得到如下：将name的值修改为admin，重新用脚本在进行加密。

BUUCTF[极客大挑战 2019]Upload、Easy Calc---上传个图片马，抓包分析时，发现过滤了很多后缀名：php，php3、php4、php5、pht，访问/upload，成功找到刚刚上传的phtml文件。，没办法使用最简单的 一句话木马。但是phtml没被过滤，可以利用。

BUUCTF [ACTF2020 新生赛]Include、exec输入127.0.0.1。

BUUCTF[HCTF 2018]WarmUp过滤后他就是hint.php 再进行一次白名单验证 返回为真 则达成条件进行包含得到flag。//ength 可选。规定要返回的字符串长度。默认是直到字符串的结尾。从该 string 中提取子字符串。返回要查找的字符串在别一个字符串中首次出现的位置。//start 必需。规定在字符串的何处开始。值传到emmm类里面的checkFile函数。// haystack：要被检查的字符串。// needle：要搜索的字符串。函数返回字符串的一部分。

BUUCTF[极客大挑战 2019]EasySQL 、Havefun 和Secret File这样就对的上了，刚刚在Archive_room.php进行了重定向，本来是要访问action.php的，重定向到了end.php。源代码下有个action.php，但访问后跳转到了end.php，可能是有重定向，抓包看看。点击按钮，页面跳转到了 end.php。尝试 输入 账号密码都为 1‘文件包含，php伪协议拿到flag。

利用C语言的基本语法、结构化程序设计、数组、函数、结构体、指针、链表、排序算法、文件存储等，制作一个具有添加、删除、修改等功能的学生成绩管理系统，包含学号、姓名、专业和5门课程的成绩这个四个大方面的内容，流程图如图1所示。学生成绩管理系统有帮助，刷新，查询，增加，删除，显示，保存，退出，清屏这些功能，要实现这些功能，需要用到很多函数，结构体，文件操作，链表，指针等，在这里会详细介绍各类函数以及其他知识点所对应的用法，后面的添加学生，修改信息，删除，排序都是在上面的基础上进行的，待会函数的时候在分别介绍。

BUUCTF之[网鼎杯 2018]Comment 输入：*/# sql语句是换行的，所以我们无法用 单行注释符，必须用/**/拼接，用#闭合sql语句使其执行。可以看到执行成功，返回ctf这个库。首先发帖的时候必须登录，爆破弱密码登录，得到666是满足的后三位密码的。是一个类似留言板的界面，考虑二次注入，并且有git源码泄露。接下来尝试sql语句注入都失败了，看了大佬的wp，用sql来读取文件。在cmment中，对于category的值从数据库取出来没有进行转义

2022-08-17巅查看桌面，发现有gift.jpg、secret.zip、wechat.txt，hint下不下来。使用SQLiteStudio打开db文件，在Session表中看到flag。然后查看gift.jpg，发现左下角有明显的隐藏字样，是高度问题，调整高度。使用filescan命令扫描文件，并将结果写入secret.txt文件。直接当做压缩包密码打不开，尝试把空格替换成下划线，开了（无语。文件夹中，运行python脚本。为微信聊天记录的加密数据库，首先分析镜像是什么版本的。可以看到解密成功，在。

BUUCTF之[b01lers2020]Welcome to Earth 又出现了/shoot/目录，之后也是一样，访问回响时提示的目录，一步步往下访问。总结下出现的所有目录（按顺序从左到右依次访问，static/js/fight.js这个是最后一个。。嫌麻烦的话直接访问static/js/fight.js即可访问到关于flag的页面，前面的与解题感觉没啥关系，只是一个引领的作用。 ）

关于php----phar伪协议和phar文件反序列化漏洞利用phar（php archive）含义为php 归档文件。如果一个由多个文件构成的php应用程序，可以合并打包为一个文件夹，类似于javaweb项目里的jar文件的话，对于程序员来说是很方便的。在PHP5.3之后支持了类似Java的jar包，名为phar。用来将多个PHP文件打包为一个文件。要生成phar文件的话也是很方便，不需要借助额外的工具来创建或者使用，通过php脚本运行就自动在该脚本所在目录下自动创建。