web 150
打开页面,发现可以直接看源码
那就打开源码,看到这里
发现注入
那我们构造一下user和pass就好了
user=flag&pass=' union select user from user where user='flag'#
Flag: 5a2f5d8f-58fa-481b-a19f-9aab97ba6a4b
web 300
这题我是问的别人
输入127.0.0.1&&dir
发现三个文件
1C9976C230DA289C1C359CD2A7C02D48 index.php index.php.txt
其中一个是index.php.txt,打开看看
看到了一个正则表达式:
$pattern='/^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}(([&]{2}|[;|])dir[\sa-zA-Z0-9]*)?$/';
原来这道题的突破口不是127.0.0.1&&dir,而是要发现index.php.txt这个文件啊,看来以后要多多注意这些.txt的文件了
好吧,既然知道了怎么解决,继续
127.0.0.1&&dir 1C9976C230DA289C1C359CD2A7C02D48
发现了一个flag.php的文件,直接URL进入
就看到flag了
flag{0d143dcd-5b29-4f4f-9b16-73665aeb45a8}
web 350 注入
此处盲注几次后发现username框存在注入
本想手注 发现水平不够,那么扔SQLMAP吧
试了几次 发现有waf,用sqlmap的tamper space2comment
慢慢跑 跑出来的结果
拿去cmd5解密
登录,拿到flag
flag{51f52db9-5304-4dcf-acb1-6b0ec2e167f2}
web 350 上传、包含
这题进入后有一个上传图片的界面和一个查看图片的界面
同时URL为
http://101.200.145.44/web5/index.php?page=submit
很容易往文件包含那方面去想
试了很多次上传php文件,后来发现他不仅验证后缀名,还验证文件头
那么走向文件包含的另一个思路,往jpg里写入php代码
这也是我这次新学到的,在文件包含漏洞里,读取的jpg文件中的php代码是会被执行的
写入代码上传,我原来写入的是<?php格式的,但是经测验不行,此处采用老格式script即可
然后从读取图片,发现图片的路径
接下来就从文件包含漏洞中读取此文件
发现文件包含漏洞会自动在末尾填充.php格式来读取文件
那么我们此处用%00截断
就得到了flag
flag{e34349fe-42f4-4d78-b221-48094fe2b2af}
web 500
首先进入题目,发现很明显的需要代理
看到图片的URL
发现proxy.php
那么通过这个文件来代理进入admin界面
http://101.200.145.44/web4/proxy.php?url=http://121.42.171.222/proxy.php?url=http://101.200.145.44/web4/admin/
虽然我不知道那个121.42.171.222下的proxy.php是怎么来的。。。
然后我卡在了注册和登录这个地方
知道有人提示我robots.txt
好吧 进去一看
分别看看两个源码
trojan.php
好吧,这个是小明上传的一句话
并且验证了session,那么我们只能用admin登录后来进入一句话
运行一下
发现参数是360
继续看
check.php
只能登录admin
那么这里只能绕过了
要么绕过登录界面
要么绕过注册界面
这里绕过的是注册界面
经过提示。发现绕过注册用的是mysql数据截断
原文:http://www.2cto.com/Article/201108/101116.html
好吧 那么注册时账号用admin 0就行了
这里有个地方忘记说了
就是注册界面时的验证码读取问题
因为我们用的代理进入的页面,所以验证码读取有问题,那么我们就用firebug来修改一下代码就好了
如下:
验证码就出来了
注册
注册成功!
接着登录,账号admin,成功绕过!
载入页面
得到flag
flag:{83d97b62-3196-4d53-8c5c-f4ee805f91fc}