生死看淡，不服就干的博客

进入靶机，如下根据提示信息，可知需要三个参数：text，file，password，且 text 的文本内容也已经限定，那么桌面建立一个文本文档，内容为：welcome to the zjctf，尝试用 file 协议读取，发现不行?text=file://C:\Users\Hacker\Desktop\test.txt尝试多次，发现 data 协议可以?text=data://text/plain,welcome to the zjctf4. 构造 file 参数，之前代码提示了.

进入靶机，得到如下界面，没什么特殊的，F12 或者右键 查看网页源码发现关键文件，尝试访问得到如下结果并无特殊之处，只给了一个网址，此地无银三百两，既然是 http 类型的题目，burp suite 抓包，右键–>Send to Repeater在 Repeater 里修改 Header，提示访问来源不对，此时我们可以通过 Referer 头来伪造链接来源。HTTP Referer 是 Header 的一部分，当浏览器发送请求的时候带上Referer，告诉服务器该网页是从哪个页面.

进入靶机后，发现是个简单的计算器有输入框就得各种试啊，作为一个测试人员应该有的自觉经测试发现，字母不能被解析，还有一些其他特殊字符。常规操作，F12 查看网页源码这里发现点有意思的东西，博主最初以为是 encodeURIComponent() ，然后了解了一下 JavaScript encodeURIComponent() 函数摘录：该方法不会对 ASCII 字母和数字进行编码，也不会对这些 ASCII 标点符号进行编码： - _ . ! ~ * ’ ( ) 。其他字符（比如..

先了解下题目里 tornado 看看情况大概心里有个方向了话不多说，先上图根据题目可知有三个文件，不管三七二十一，先挨个点一遍，看看效果flag.txt：文件里给出了，flag的位置？？这么简单？尝试一波能否访问：错误信息，不能访问，发现访问需要 filehash，文件名知道，filehash 不知道啊，接着往下看看吧这里只给了一个单词，先不管吧，小编最初只是了解下单词什么意思，嗯不够纯粹，深入了解一下，才发现这是 python 的一个渲染函数。那么应该考虑是 python..

打开目标靶机发现提示很简洁那就放在URL里尝试吧/?ip=127.0.0.1有明显的的回显结果并没有此类题目的经验，第一次碰到，只能尝试，发现空格等很多符号被过滤，看老哥们的提示，这是经典的Linux命令执行，使用命令执行的管道符 “|” 尝试列出文件，OK那就开干吧构造如下 payload/?ip=127.0.0.1|ls有结果，得到文件名称4. 拿到文件名，flag 大概率在 flag.php 中，那么接下来肯定尝试去访问，或者列出文件内容啊?ip=1|cat flag.

进入题目，只有相应提示信息，查看网页源码，如下可得一个有效信息点击 Archive_room.php 尝试访问，发现只有一个 secret 按钮，可点击，同样先查看源码，看看情况再点击，避免无用功发现 action.php 文件，尝试访问宛如晴天霹雳，唰的一下，我啥也没看到哇~~~你跳的欢，没关系，我抓包，一步步搞，总能得到些许有用的东西吧？回到上一步，即访问 Archive_room.php 文件，开启代理，burp suite 抓包走一波，抓包后，右键 —> Send to Re.

文件包含漏洞靶场地址 —> web 方向启动靶机，进入题目后，如下点击tips 获取帮助，查看有无变化可发现是文件包含，已经明确给出，文件包含直接读取的是文件，而不是文件源码，所以要想办法读取源码方法。那么就要涉及到 PHP 伪协议，这个是之前接触很少的东西，先了解一下PHP伪协议PHP伪协议参考：FreeBuf 详细介绍了解了PHP伪协议后，那么此处应当使用 ：php://filter 读取源代码并进行base64编码输出，不然会直接当做php代码执行就看不到源代码内容了。构

靶场地址链接(click me）发现很友情的提示，emmm，那就先使用不同的 payload 进行测试，看下结果吧直接点击提交，看结果，输出为一个数组，此处应有文章可做，再测试其他payload试试使用 1’ # 看结果，给出以下错误提示信息，因此可初步判断存在闭合使用 payload：1’ order by 3 # 测试列数，经测试发现有2列，尝试回显注入使用 payload：1’ union select 1,2 # 注入，发现被过滤，大小写也没用，正则忽略大小写，大.