shierbai的博客

直接上结论，过滤诸多字符，如<>,{},/等等，过滤flag,然后cat无效，空格的url编码不行。fla$a.php代替flag.php。这里用cat会显示不出，用tac从最后一行开始读。这里&&无法做到两条命令都执行。使用$IFS$9代替空格。

用&&连接同时执行多条指令。

MySQL 除了可以使用 select 查询表中的数据，也可使用 handler 语句，这条语句使我们能够一行一行的浏览一个表中的数据，不过handler 语句并不具备 select 语句的所有功能。它是 MySQL 专用的语句，并没有包含到SQL标准中。然后就是到这里，又需要用到Handler语句去不必提及flag列名就可以读取表内容。这里是有想到报错注入，但后来发现这个flag给过滤掉了。堆叠注入以及mysql的Handler语句。OPEN语句打开一个表。这关过滤了非常多东西，也让我学到新的姿势。

明显的信息，页面源码，说明要post两个东西，password需要等于404且不可以是数字。我很确定是8个零，难道是要大于1e8的，这里是先做密码校验再进行money的值比较的。这次密码正确了，但提示数字过长，那么就是考虑如何缩短那一长串0了。这下有回显了，但说我们的密码错误，尝试看看校验函数能不能绕过。直接转换了请求方式post了密码和钱没反应。然后money需要等于100000000。观察到有cookie，此处user=0。这里首先想到科学计数法，1e8。

直接传了个图片马包含一下就成功了，不过还是条件竞争，此处因为上传了图片可以得到重命名后路径，做条件竞争就是为了在重命名前去访问该文件（路径可知，但重命名后文件名不可知）图片马是可以的，但这里应该是考条件竞争，写入木马文件放到burp intruder重放，然后同时进行访问，再被重命名前访问到php解析的图片马即可。存在文件解析漏洞，不知道的可以自行百度，这里也可以上传一个.htaccess，利用此文件去将上传的jpg啊，什么gif文件按照php解析。空格，真是让人尽兴啊，也许我一生都不会忘了你的吧。

做延时爆破，多测延时极限，延时还可以小很多，不报429请求过多就行。会提示用户名错误，就不需要两个一起爆破，效率低。

method=_construct&filter[]=system&method=get&server[REQUEST_METHOD]=id（系统命令）此之前的版本中，获取method的方法没有正确处理方法名，攻击者可以调用request类任意方法并构造利用链，从而导致远程代码执行漏洞。其版本5中，没有正确处理控制器名，导致网站在没有开启强制路由的情况下（默认情况）可以执行任意方法，从而导致远程命令执行漏洞。应用：很多cms是基于thinkphp5二次开发的，所以出问题的话，会影响很多基于其开发的网站。

这里可以看到只改了文件名后缀，害怕万一是白名单的是jpeg，没有jpg，我还测试了一下png，也是同样的结果，所以一定做了mime。可以看到是成功的，也就是说，文件名后缀是做黑名单处理，那么尝试各种黑名单绕过手法上传php，但不确定是否是mime检测，抓包改一下看看，当然你也可以直接传图片马，只考虑路径和执行即可。博主文件包含学的不是很好，到这里就放弃做文件包含了，博主发现加个点就完事的。也可以看到文件名后缀是有过滤的，但仅凭此还不能确定后缀名是白名单。如图，并不存在文件解析漏洞，考虑文件包含。

此报错可以看到目前这个目录没有该文件。看样子是本地文件包含。

宝贝这么直接吗哈哈哈哈哈哈，这倒是，只要你不让我盲注（输一大堆麻烦）我就不sqlmap居然是get报错此处--+无法注释，#可以，还没用and 1=测试就知道是字符型且闭合条件为'xxxxx'这个用联合查询注入最方便我用了报错注入途中对自己的闭合条件产生怀疑，于是做了这个测试，但这并不是flag，继续做注入得到库名，爆破表名。

直接抓包，修改get路径，附上payload可看到passwd回显，进行外部实体注入。此文为学习记录，因为我也是第一次做外部实体注入的复现。

懒得试了，一眼伪静态。

闭合条件，注意，必须做url编码，否则不能闭合。试了良久都没什么成果，知晓的报错注入是有希望的。用right(xxx,int)从右往左截取字符。其他的也试过了，order by 不太能。报错注入需要空格，或 或者 且,等号。试试用bp做符号爆破看看过滤情况。这里测试()存活,^和&&也在。感觉学到不少东西，曼波。784的全是被逮住的。但&&此处报语法错误。

emm算是又熟悉基础了。