cjdgg的博客

DASCTF Oct X 吉林工师 迷路的魔法少女挺久没做php的题目了，有点捞，我写的博客主要也都是分享自己的思路，欢迎各位大佬指点话不多说，直接进入正题这题题目直接给了源代码，典型的php命令执行题目吧，做这类题我一般喜欢先找可利用函数，毫无疑问，这题就是eval了这题目eval这里的利用好奇怪，说实话，可能因为做得少我是没见过这种形式的，所以直接百度了一下看看有没有相关的利用这里有点运气好haha，直接搜到了有篇文章有相关源代码这篇文章直接就分析了String2Array($dat

[极客大挑战 2020]Roamphp1-Welcome题目进入后环境如下一开始我还以为是题目环境出了问题，后来注意到报错是405，百度了一下405才知道是开发人员设定的，可能是请求方式不对这道题一开始用的是GET请求报了405，那换成POST试试成功爆出源代码，下面是一个常见的php中sha1函数的绕过，用数组就行在phpinfo的信息中成功拿到flag...

[红明谷CTF 2021]write_shell题目直接给出了源代码，看了一下源代码，利用点应该就是利用file_get_contents函数写shell获取我们需要的信息在此之前我们还需要找到要写入shell的文件路径，这时我们可以发现可以通过?action=pwd进行查看...

[BMZCTF]-simple_pop题目直接给出了源代码，也比较简单粗暴，绕过两个过滤即可，先看第一个if(isset($text)&&(file_get_contents($text,'r')==="welcome to the beijing"))这里我还是第一次见到file_get_contents($text,‘r’)这种用法，也想不出什么绕过方法，就去网上翻一下绕过方法，发现一个利用协议绕过的确实可以，那这里算是过了，这里过了，接着就到if(preg_match

[BMZCTF]-UP题目主页面啥也没有拿dirsearch扫描，扫出了upload.html尝试上传一些文件，发现只能上传一些图片格式的文件上传了一个1.jpg后，根据他提供的图片存储位置查看，发现图片被当成php文件解析了那把之前的图片用010editor编辑制作图片马上传后用蚁剑连接，成功拿到flag...

[BMZCTF]-CISCN_2019_WEB_1這道題目先注册一个用户登录进来吧登陆后只有一个文件上传功能，而且限制了只能上传png，jpg，gif文件，其他的一律不允许，文件上传的一些绕过经过初步尝试是无效的，而且上传之后文件的存储路径不知道这里可以注意道，他这里还提供了个文件下载的功能，那就说不定可以下载任意文件，这里直接抓下载的包然后尝试一下下载，成功拿到源代码最终一共找到这么几个页面的源代码看到了好几个魔法方法，果断全局搜索serialize有点可惜但还有phar，phar

[BMZCTF]-phar??进入题目后，根据源代码中的提示，可以发现两个页面在include.php中根据页面中的提示，应该是存在文件包含的,这里随便包含了一个文件试试，根据报错不难看出确实是存在文件包含漏洞...

[BMZCTF]-hitcon_2017_ssrfme依旧是直接给出题目源代码这里列一下几个用到的函数吧file_put_contents — 将一个字符串写入文件pathinfo — 返回文件路径的信息escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数shell_exec — 通过 shell 环境执行命令，并且将完整的输出以字符串的方式返回。这题代码简而言之就是会先生成一个文件夹，路径是orange+你的ip地址经过MD5加密后的密文，所以实际位置就是

[BMZCTF]-easy_exec题目直接给出源代码，看这样子，应该又是绕过过滤然后命令执行这道题先搜一搜file命令的作用，并查看相关参数的作用后，确定file没用后，确定了这题考点应该是要插入我们想要执行的命令这里看了一下，把反引号和单引号都过滤了，但是却没过滤双引号，偏偏双引号还是这题用来框住命令的直接构造";cat%20/flag"，这两个双引号分别用来闭合题目中的双引号。成功拿到flag...

[BMZCTF]-WEB_ezphp题目也不拐弯抹角，直接给出源码先传个phpinfo();上去看看php版本和相关的禁用函数这里试一下直接扫目录读取，参考PHP代码审计小结成功扫到根目录可以看到根目录下有个readflag，但直接读不了决定构造一下让蚁剑连上去用蚁剑链接这样直接看文件都不行我就不会了，这里看了mochu大佬的WP他在先知找到一篇UAF bypass PHP disabled functions的文章的exp可以利用<?phperror_repo

[BMZCTF]-shell_exec这题一进去直接显示一个页面

[安洵杯 2019]iamthinking这啥也没有只能扫目录了，成功扫到源码大致看了一眼它是啥架构的，发现好像是topthinkGoogle一下才知道这就是thinkphp既然是thinkphp那就搜一搜相关版本的漏洞吧搜了一下基本上都是用session进行任意文件写入，很遗憾的是这题没有开启session，所以不可能是这个漏洞，还是回来看源代码叭又看到unserialize了，那这道题不出意外考察的就是反序列化漏洞了。但是前面还有个正则匹配需要绕过，在此之前先做个小实验看看传进了什

[BMZCTF]-WEB_ezeval这题也是直接给出php源代码，代码也很直接，只要我们将数据绕过htmlspecialchars()和str_ireplace()就可以执行传入的cmdhtmlspecialchars() 函数：htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。str_ireplace() 函数：str_ireplace() 函数替换字符串中的一些字符（不区分大小写）。简单来说，这题考察的就是黑名单的绕过，这里直接推荐mochu大佬的文章第

[BMZCTF]-rcee题目直接给出源代码，这里他创建了个新文件夹过去看看啥也没有，有用的估计就是知道它系统是Ubuntu要找flag估计还是得用主页面，直接命令执行

[SUCTF 2018]annonymous这题代码很少，就这几行首先创建了一个匿名函数，会输出flag接着openssl_random_pseudo_bytes(32)生成一个随机数，然后将其转成了十六进制，将其赋值给$hash接着SUCTF_和hash拼接成一个新的函数名，函数会执行上面构造的匿名函数所以，要想获得flag就只有两种办法，直接执行匿名函数，或者执行SUCTF_和hash拼接成的新函数下面的func_name可以传一个函数名进去并执行该函数这题最初想着直接传$MY进去看能

[EIS 2019]EzPOP-PHP代码审计学习作为一个不太聪明的WEB安全菜鸟，代码审计一直不咋地，正好遇到一道题，记录一下学习过程<?phperror_reporting(0);class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) {

题目就是简单的几行代码，看到了反序列化函数，还提示了有源代码，那就说明得审代码找POP链咯源码下了文件还挺多的，这会就有点懵逼了，文件这么多一个一个的找得找到猴年马月啊。无奈之下上网翻一翻网上审Laravel的文章，发现了可以先全局搜索缩小范围(Sublimetext中是快捷键ctrl+shift+f)，提高速率，我搜了下_destruct找到了不少,双击就可以去到文件文件里面具体查看，接下来就是一个个去看有没有发现有用的吧第一次审这么大的文件，东西太多太杂，没啥经验，没看出啥，只能找篇大佬的.

[VNCTF 2021]Easy_laravel-PHP代码审计学习记录上次做完那道代码审计后，好巧不巧，又有新的php代码审计题，也是Laravel，话不多说，进入正题这题一进入就是这个页面，看到这个页面就想起了之前拿CVE打过的一个靶机，于是看了下版本号找找有没有CVE可以打谷歌搜了下laravel 8.22.1 exploit，很绝望，这个版本几乎都是CVE的修复版本，没有可用的CVE，这题还提供了源代码，那就只能慢慢看了又是熟悉的N多个文件夹，依旧是先全局搜索_destruct找可以用

DASCTF做题学习-反序列化&SSTIez_serializeez_serialize这题直接给出了源代码，源代码也都挺简单的 <?phperror_reporting(0);highlight_file(__FILE__);class A{ public $class; public $para; public $check; public function __construct() { $this->class