5.incloud
首先得到源码
根据题目提示incloud和源码中有file文件包含函数,猜测文件包涵漏洞。
用php://filter 伪协议来测试
该伪协议读取源代码并进行base64编码输出,输入file=php://filter/read=convert.base64-encode/resource=flag.php
得到
再进行base64解密
flag{44c05328-b1c9-4dbf-a465-06c508a4a06b}
6.easysql
先查询数据库和查询表
发现有一个flag表,然后查询表中字段,输入1;show cloumns from `Flag`
结果发现查询不到,应该是过滤了某些字段,这道题的解决关键是让||不是逻辑或的用法。
方法一:输入非零数字能得到回显然而输入其他字符得不到回显,判断内部查询语句有||
内置的sql语句为:sql=“select”.post[‘query’]."||flag from Flag";
如果$post[‘query’]的数据为*,1,sql语句就变成了select *,1||flag from Flag,只要输入*,1即可得到flag
方法二:输入1;set sql_mode=pipes_as_concat;select 1
其中set sql_mode=pipes_as_concat;将 ||视为字符串的连接操作符而非 “或” 运算符
flag{51b37a35-2017-48a3-89b3-d770b6e8a92e}