陈艺秋的博客

此函数在处理数据时会在接触到字符串时停止，因此如果输入100e2之类的数据，会解释成100，但后面在执行+1时，100e2是科学计数法，所以会解析成10000，因此此处使用100e2绕过。直接先利用ls查看文件，前面的都是访问过的，所以我们把目光放在这个奇特的名称文件上，过滤了空格我们可以采取 ${IFS}$9绕过，而且我们执行命令也不止一个cat能查看文件。进入环境就叫我hack它，主要是这个网页名称是什么东西，看不懂，源码也没什么提示，尝试扫描后台。访问后，又得到一个路径。

通过抓包后，在cookie字段发现了 特殊的东西，前面翻译过来跟题目没有太大关系，所以最后就看session字段，看着不像是base64，burp解码也不行。最后查看wp，结果发现还是base64，不过有些字符是乱码，所以一般的工具解密不出来。但是没有secret_key，有点离谱的是，看了几个wp都说直接盲猜是比赛名称。根据题目提示，和本题环境为flask，得知本题考察session伪造。然后就可以点击获取flag，结果回显提示，需要获取管理员。进入环境后是一个输入框，可以提交名字。

这道题有点东西网页一段计算框，只有加和减数字，但是永远到大不了20，页面也没啥特别的，准备看源码，但是打不开，我以为是环境坏掉了，看wp别人也这样，只不过大佬的开发者工具可以打开，我的就不行最后试了一下，你要么就在网页右上角更多工具里面手动打开，要么就另外打开一个网页，然后先打开开发者工具再加载题目url在代码此处有一段src标签，好像是一个JavaScript的代码，但是利于工具看的时候，页面并没有对应回显，看起来是个路径，可以访问一下。

接下来，代码使用条件语句检查`$_POST['gdou']`和`$_POST['ctf']`是否不相等，并且它们的MD5散列值是否相等。接下来，使用两个`foreach`循环遍历`$_POST`和`$_GET`数组，$$key用于创建与数组键名相同的变量，变量值为数组的值。在第四行代码，代码将`$_POST['ctf']`和`$_POST['gdou']`赋值给变量`$b`和`$a`。然后将`$_GET['aaa']`和`$_GET['bbb']`的值分别赋给变量`$aaa`和`$bbb`。

打开环境后提示说，只允许在本地访问，本地访问，还是想到了XFF字段好家伙的，直接被嘲讽，还是了解太少了，都不知道还有没有其他方式可以控制ip地址信息经过查看wp，得知一种新的方式。

具体含义就是：利用GET传参获取cxk参，如果cxk打开后的数据等于ctrl，就打印flag。一开始使用御剑扫描，扫不出来，后来利用dirsearch扫描，可以扫出来两个隐藏文件。打开环境后啥也没有，也没有注入点，所以尝试一下网站有没有隐藏文件。我以为是御剑字典里没有，结果 添上也不行，不知道咋搞。结果跟上面的源码没有任何的区别，就只是字符串检测。先访问test.txt，得到一串源码。看着挺简单，还是看看另外一个文件吧。解压后又得到一个路径。

那我们更改浏览器信息，在burp重发器中发包后发现是302重定向，但是提示说success成功，说明 我们修改是成功的，既然是302，那我们就直接在网页发包吧。又获得页面提示，说只能在本地访问，并且给出了现在的ip地址。可以看到下面的图片，我们的地址已经更改了，而且还是302。打开环境，根据题目提示，应该是考察http相关的东西。虽然数据包没有XFF字段，但是我们可以直接添加。提到IP，那我们可以继续抓包后修改XFF的值。打开环境提示说请使用wLLm浏览器访问。

根据题目提示，这关应该是基于Python flask的模版注入，进入靶场环境后就是一段字符串，而且没有任何提示，有点难受，主要是没有提示注入点随机尝试一下咯，首先尝试一下guest，GET传参但是没有反应，难道是POST？直接报错，说明不是的，接着尝试一下namename传参回显成功，并成功验证为flask但是到这里就有点奇怪，页面没回显了，一开始我以为是有过滤存在，但是一直没有成功最后查看了一下wp，结果是在源码中才看得到回显结果，既然有回显那就继续注入。

打开环境后是一个登录框，还以为是sql注入，但是尝试之后没有回显，尝试一下弱密码爆破咯。进入后可以看到很多选项，都是可以访问的 ，说明这道题还有很多解决方法。然后访问上传的PHP文件，利用hackbar进行命令执行。我们可选择上传文件，没有任何过滤，直接连接就好。或者创建文件后选择编辑，往里面写入一句话木马。看了源码才知道，密码已经给出来了。

模版注入，这里已经给出了两个路由，一个跟路由给出了网页的源码，另外一个有两处过滤第一处是将（）小括号替换为空，意味着我们不能直接使用os模块了第二处是过滤掉了config，和self两个关键字`['{{% set {}=None%}}'.format(c) for c in blacklist]`这部分代码会遍历`blacklist`列表中的每个元素，将其插入到`{{% set {}=None%}}`字符串模板中的占位符`{}`处，生成对应的变量赋值语句。

这个是利用strops检测file变量中是否包含wofers或meowers或者index的值，如果有，就执行文件包含，那我们还是可以直接进行伪协议的传参。但主要是有，参数的传递，加上前面的index.php，想到了PHP伪协议，或许我们可以直接查看一下隐藏源码。仔细查看报错信息，发现参数在传递的过程中，会自动加上一个.php后缀，所以我们直接去掉后缀就行。进入环境，一上来就是一段激励的话，没有啥特别的，源码中也没有看见啥有用的提示。解码后会得到一串base64字符串，我们可以直接拿去解码，得到源码信息。

进入环境后就是一串报错和一张图片，主要是这个网页一直莫名抽搐看源码得知是一个post请求方法，还有传入了两个参数，那就抓包看看抓包后参数没有变化，还是这个发送到重发器后，我才得知这个报错信息，原来就是，data函数的报错信息，那我们就可以猜测这个两个参数之间的关系，是我们可以利用var_dump函数测试一下发现确实存在命令执行的页面回显，那我们是不是直接可以本来想直接利用scandir查看当前目录下的所有文件的，但是用法出了点问题查看了wp，得知可以用。

查询数据库，发现正则过滤，并且不区分大小写，尝试过/**/注释符对select分隔，但是识别不了，哪还有一种方法就是堆叠注入。查表，只包含两个表，但是select被过滤掉了，所以我们可以使用show columns来查看表中字段。这个时候就要发散一下思维，可以看到之间传参1所回显的数据，和words表字段的结构其实是差不多的。这里就是默认将接受到的参数传递给words表的id字段，然后回显id字段对应的字符串数据。尽量一次性做完哦，不然有可能变成以下这样，其实变成这样，也可以验证咱的思路。

看了一眼wp，说包含一个file，可以读取数据，这道题应该是在python2，因为在之前的学习中，得知file读取函数在python3中已经被取消掉了。但是如果直接访问的话，就会利用url报错，将结果给执行带出来，那说明我就可以直接利用这个性质进行ssti模版漏洞注入。考察模版Python flask的模版注入，页面没有回显，只有一段字符串，尝试直接利用Python传参。我们可以利用config，在config里内置了os，模块。然后使用偶数，调用popen函数，执行ls命令查找到flag所在地。

普通的cookie并不安全,可以通过客户端修改在Tornado框架中，cookie_secret是一个密钥，一般使用随机生成的字符串，被用于对生成的cookie进行加密。它的作用是确保cookie的安全性，防止被修改或伪造。具体来说，当Tornado应用程序使用set_secure_cookie()函数设置cookie时，会使用cookie_secret对cookie进行加密。而在获取cookie时，Tornado则会使用同样的密钥进行解密，并验证cookie是否被篡改。

一开始利用find命令寻找flag所在，一直没找到，找半天最后flag就在app目录下的模版文件里面，浪费好多时间。打开环境后就只有一段文字，说密码错误，来回看了源码，抓包都没有什么提示，并且也没有有任何的传参显示。回显一大堆object下的子类信息，我们运行下面的脚本，将我们需要的os模块的位置找出来。最后想来想去，终于灵机一动，这段文字就是在提示我们，可传的参数为password。既然的SSTI，我们就可以直接开始构造payload，判断模版类型。最后一步到位，执行popen函数，查看当前所有的文件。

然后，通过 ord() 函数获取 $_c 字符的 ASCII 值，并+ 1，然后利用chr()函数，将数据转换为字符后重新赋值给$c。循环结束后，将 $_ 变量进行base64编码，然后再利用strrev函数倒序，最后使用ROT13 编码，return返回最终值。接着使用一个for循环，接着，遍历 $_o 中的每个字符。设定临时参数$_0初值为0，退出条件为。将接收的变量利用strrev函数进行字符串反转，并赋值给$_o。将$_c 存储的字符追加到 $_ 变量中。表示下标的字符，存储在 $_c 变量中。

说起来是easy但是，代码审计对于我来说有点小难唯一觉得好的地方是因为基本上每一步都有回显，可以依照回显一步步注入。

看题目提示，应该是一道文件包含的题目，打开环境后直接告诉我flag在flag.php里但是因为不知道绝对路径，不能直接利用file读取查看源码后，发现里面嵌入了一段php代码。

应该是存在sql注入，然后根据题目猜测可能是get类型的注入。最后尝试了一下万能密码？id=1' or 1=1--+虽然没有回显，但是可以利用sqlmap查看数据库的信息。以上语句构造出来全都没有反应，页面也没有任何的变化。进入环境后，提示我们需要传入id，并且尝试绕过。