Rock and Roll
可以用curl -i查看网页的响应头和主体,也可以抓包。
Inspector Clouseau
直接查看源码获取
spongebob
由代码可知,可以用分号隔开命令。
";ls;"
<?php
$text = $_POST['text'];
$command = "python3.9 memetext.py \"$text\"";
$out = shell_exec($command);
echo $out;
?>
最后查看就可以了。
Apocalypse Security - 1
' or 1=1 --
Locked
扫目录,可以发现/admin.
访问main.js,可以看到一串base64加密了三次的字符串。
解码
访问,得到一个网站,访问就可以获得flag。