web5~6

5.incloud

首先得到源码

 根据题目提示incloud和源码中有file文件包含函数，猜测文件包涵漏洞。

用php://filter 伪协议来测试

该伪协议读取源代码并进行base64编码输出，输入file=php://filter/read=convert.base64-encode/resource=flag.php

得到

 再进行base64解密

 flag{44c05328-b1c9-4dbf-a465-06c508a4a06b}

6.easysql

先查询数据库和查询表

 

发现有一个flag表，然后查询表中字段，输入1;show cloumns from `Flag`

 结果发现查询不到，应该是过滤了某些字段，这道题的解决关键是让||不是逻辑或的用法。

方法一：输入非零数字能得到回显然而输入其他字符得不到回显，判断内部查询语句有||

内置的sql语句为：sql=“select”.post[‘query’]."||flag from Flag";

如果$post[‘query’]的数据为*,1，sql语句就变成了select *,1||flag from Flag，只要输入*，1即可得到flag

方法二：输入1;set sql_mode=pipes_as_concat;select 1

其中set sql_mode=pipes_as_concat;将 ||视为字符串的连接操作符而非 “或” 运算符

flag{51b37a35-2017-48a3-89b3-d770b6e8a92e}