m0_62107966的博客

[网鼎杯 2020 青龙组]AreUSerialz BUUCTF可以用来读取文件， if($this->op === "2") # 使用强类型比较 这里是个强类型比较，令$op=2即可满足 $this->process();(ord($s[$i]) >= 32 && ord($s[$i]) op === "2") # 使用强类型比较。if($this->op == "1") { # 写入文件。if(isset($_GET{'s

buuctf [极客大挑战 2019]LoveSQL3的时候没反应，4的时候报错，证明字段就是只有3个。接着就是常规的sql注入，没过滤什么东西。flag在后面那个表里面的。查字段，拿到flag。

BUUCTF [安洵杯 2019]easy_serialize_phpphp反序列化时，当一整段内容反序列化结束后，后面的非法字符将会被忽略，而如何判断是否结束呢，可以看到，前面有一个a:3，表示序列化的内容是一个数组，有三个键，而以{作为序列化内容的起点，}作为序列化内容的终点。所以此时后面的";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}在反序列化时就会被当作非法字符忽略掉，导致我们可以控制$userinfo["img"]的值，达到任意文件读取的效

BUUCTF [GXYCTF2019]Ping Ping Ping easywill`ls`即可解释为输出index.php以及flag.php的内容，那么flag就可以输出出来了。cat获取文件内容，过滤了flag，所以flag.php无效，但可以访问index.php，查看源码。发现有两个文件，一个是flag.php，另一个是index.php。考点：ping命令相关命令执行。过滤了很多东西，包括flag。这里过滤了flag和空格。使用ls命令查询目录。

BUUCTF之 [HCTF 2018]admin-----这里的ckj123等下使用脚本时是需要用来作为参数的。刚刚以 1 用户登进去后给了个session源代码的意思是：用户如果以admin的身份登录，就直接可以拿到flag了，所以直接注册账号为admin，密码为123就成功拿到flag了。如果使用脚本的话，就需要伪造session为admin登陆的时候。使用脚本解密，脚本命名为session解密.py运行得到：得到如下：将name的值修改为admin，重新用脚本在进行加密。

BUUCTF[极客大挑战 2019]Upload、Easy Calc---上传个图片马，抓包分析时，发现过滤了很多后缀名：php，php3、php4、php5、pht，访问/upload，成功找到刚刚上传的phtml文件。，没办法使用最简单的 一句话木马。但是phtml没被过滤，可以利用。

BUUCTF [ACTF2020 新生赛]Include、exec输入127.0.0.1。

BUUCTF[HCTF 2018]WarmUp过滤后他就是hint.php 再进行一次白名单验证 返回为真 则达成条件进行包含得到flag。//ength 可选。规定要返回的字符串长度。默认是直到字符串的结尾。从该 string 中提取子字符串。返回要查找的字符串在别一个字符串中首次出现的位置。//start 必需。规定在字符串的何处开始。值传到emmm类里面的checkFile函数。// haystack：要被检查的字符串。// needle：要搜索的字符串。函数返回字符串的一部分。

BUUCTF[极客大挑战 2019]EasySQL 、Havefun 和Secret File这样就对的上了，刚刚在Archive_room.php进行了重定向，本来是要访问action.php的，重定向到了end.php。源代码下有个action.php，但访问后跳转到了end.php，可能是有重定向，抓包看看。点击按钮，页面跳转到了 end.php。尝试 输入 账号密码都为 1‘文件包含，php伪协议拿到flag。

BUUCTF之[网鼎杯 2018]Comment 输入：*/# sql语句是换行的，所以我们无法用 单行注释符，必须用/**/拼接，用#闭合sql语句使其执行。可以看到执行成功，返回ctf这个库。首先发帖的时候必须登录，爆破弱密码登录，得到666是满足的后三位密码的。是一个类似留言板的界面，考虑二次注入，并且有git源码泄露。接下来尝试sql语句注入都失败了，看了大佬的wp，用sql来读取文件。在cmment中，对于category的值从数据库取出来没有进行转义

BUUCTF之[b01lers2020]Welcome to Earth 又出现了/shoot/目录，之后也是一样，访问回响时提示的目录，一步步往下访问。总结下出现的所有目录（按顺序从左到右依次访问，static/js/fight.js这个是最后一个。。嫌麻烦的话直接访问static/js/fight.js即可访问到关于flag的页面，前面的与解题感觉没啥关系，只是一个引领的作用。 ）

需要同时下载上面这两个文件，不然运行trid命令会报错，提示trid定义库不存在。发现一串特殊重复的字符串，放到新的文件，命名为1.txt。分析得知是Python Pickle序列号数据。trid下载地址如下，配置好环境变量。下载附件，给了张图片，放到010。

BUUCTF之misc [WUSTCTF2020]爬打开压缩包，发现一个没有后缀的文件， 一串16进制，转为字符串即为flag:

【代码】BUUCTF之misc [UTCTF2020]File Carving。里面隐藏了.zip文件,复制到新文件里打开,有新的文件：

zhehco--BUUCTF---[HFCTF2020]EasyLogin保姆级详解。按照刚刚要修改的三个值修改，由于要修改alg为none，在网页上无法直接获取新的jwt，所以用python脚本生成，在此之前先用pip安装好生成jwt的库：PyJWT库。值得注意的是这里的iat，是要用你自己在burpsuite里拿到的jwt里的iat值。确定username为admin，且jwt为新生成的jwt后，放包，回到浏览器，访问。重点看看这两个函数，一个是生成jwt的，另一个是返回flag的。

BUUCTF之[HITCON 2017]SSRFme详解 $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);//题目提供了沙盒目录，目录名就是sandbox ，给了沙盒目录， $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);//题目提供了沙盒目录，目录名就是sandbox ，md5是将(orangeip地址)这个整体进行加密。，注意中间不能有空格！

注意的是 前后都需要用单引号闭合，并且最后面需要空一格，如果不加，当两个函数执行并输出来后就会变成： -oG shell.php\\，导致无法写入文件。