hello_mszcc的博客

过滤的关键词有information_schema.tables，information_schema.columns，linestring，空格，polygon。Wappalyzer 识别到 Nginx，网站默认根目录：/var/www/html/。解释：$c = intval($_GET['c']);进入here_1s_your_f1ag.php是一个查询页面，sql注入。要权限，用user()看一下权限是root可以用load_file()读。mysql提供了读取本地文件的函数load_file()

猜测flag就在903c00105c0141fd37ff47697e916e53616e33a72fb3774ab213b3e2a732f56f.php文件下了。经尝试，改后缀php5,ptml均不行，使用.htaccess文件也不成功。正则过滤了php，文件大小<24,文件名小于9。扫描后发现存在upload.php.bak。又是菜鸡的一天，周五没有课，爽爽爽！上传.user.ini，在文件中写上。然后用蚁剑连接，发现可以连接不能操作。打开题目发现是一个文件上传题。,所有文件都可以包含它。

使用prepare语句创建一个预编译语句，其中包含占位符?来代替实际的参数值。

发现日志中有user-agent信息，因此我们可以在user-agent中写入木马。禁用了php关键字，这个题禁了远程文件包含,进行日志注入。打开36d.php文件拿到flag。抓包burpsuit。依旧Nginx服务器。

尝试随便输入用户名和密码，会先显示用户名错误，测试到用户名为 admin ，但是不知道密码。在 phpinfo 界面 ctrl + F 搜索 flag 关键字，得到 flag。在页面底部，鼠标在其它位置都不能点击，在 document 上可以点击进入另一个页面。根据题目提示，底部有一个邮箱是 QQ 邮箱，用 QQ 搜索一下，得到地点在西安。根据题目提示找探针，访问 url/tz.php ，进入到一个探针界面。再次进入到忘记密码的界面，填写密保问题为西安，页面回显重置的密码。

反引号``, 可以执行系统命令, 并返回一个字符串类型的变量, 用来保存命令的执行结果, 需要注意的是, 反引号``中的命令会先被执行并将结果以字符串类型的变量返回, 而后再参与到其他代码的执行, 类似一个函数。但是双引号中插入单引号，如果变量存在的话，还是可以执行的；其中的内容不会经过解释（\n不会输出为换行，而是直接输出），即内容会与输入的内容一致，的过滤, 我们可以使用?双引号中的内容将会被解释，即解析内容中的变量。

SQL会同时查询2 和 1000 这两个id的信息, 刚才我们试过, id为2时, 没有信息, 那这条SQL查询的结果就只有 id = 1000 的信息, 从而返回flag。过滤了or、减号、除号、乘号、左移、右移、感叹号、x、hex、加号、括号、select、\|/、单双引号、竖线，几乎都过滤完了。过滤了or、减号、除号、乘号、左移、右移、感叹号、x、hex、加号、括号、select、\\。过滤了or、减号、除号、乘号、左移、右移、感叹号、x、hex、加号。

/ 如果存在 $_GET['S']，则执行 eval("$$S")；否则高亮显示当前文件代码 ($S = $_GET['S'])?查看tmp下有什么文件，看到flag.txt。再次cat /var/flag.txt或者cat ../../flag.txt。这段代码本质上是一个 **"一句话后门"**，存在极高的安全风险。直接cat /tmp/flag.txt。

f12有提示发送get包?cmd=ls，出现代码这里有两个正则表达式，理解一下preg_match("/[A-Za-oq-z0-9$]+/",$cmd) 检查$cmd中是否包含至少一个 "大写字母、除 p 外的小写字母、数字或美元符号"。|\@|\#|\%|\^|\&|\*|\(|\)|\（|\）|\-|\_|\{|\}|\[|\]|\'|\"|\:|\,/",$cmd) 使用分隔多个需要匹配的字符，相当于 "或" 的关系。在正则表达式中，某些字符（如。

先学一下sql基本语句这里要用到select,union,information_schema,limit这一题是单引号闭合，字符型注入。

直接f12开发者模式。

首先得想到传phpinfo，虽然不知道为什么可能和call_user_func函数有关了解一下。

用order by 判断几个字段，order by 3登录成功。输入1'or(true)# 登录成功。发现空格被过滤可以用/**/或()绕过。登录页面直接输入万能公式。看看在那个位置有回显。

f12发现hint:cmd?有回显,应该是rce?查看源码glob() 函数返回匹配指定模式的文件名或目录。例如：glob("*") 匹配任意文件glob("*.txt")匹配以txt为后缀的文件首先介绍一下打印函数。

ffifdyop 的MD5加密结果是 276f722736c95d99e921722cf9ed621c。经过MySQL编码后会变成'or'6xxx,使SQL恒成立,相当于万能密码,所以密码直接输入ffifdyop。可以绕过md5()函数的加密。

用data伪协议不好写，应该是被过滤掉了根据提示进行日志注入，使用Wappalyzer查看一下，使用的中间件是Ngnix日志包含漏洞的成因还是服务器没有进行严格的过滤 ，导致用户可以进行任意文件读取，但是前提是服务器需要开启了记录日志的功能才可以利用这个漏洞。对于Apache，日志存放路径：/var/log/apache/access.log对于Ngnix，日志存放路径：/var/log/nginx/access.log 和 /var/log/nginx/error.log。

尝试union发现2处回显。

所以将admin进行url编码,但传入值时还会经过url解码,所以要进行二次url编码。打开phps文件可以查看到代码。

首先打开Hello World 发现使用perl语言建站。打开Files发现是文件上传，进入本题主题。打开Froms准备SQL注入发现没有。

我也不太了解看wp知道ssrf有ssrf.php。直接输入file:///flag 读取。ssrf应该也可以使用。

然后我有一个小问题是flag直接放进去进行url解码并不成功，显示"flag" 由纯字母组成，符合无需编码的规则，因此编码后仍为。使用 file 协议读取系统文件。此题了解ssrf漏洞。

X-Forwarded-For:简称XFF头，它代表客户端，也就是HTTP的请求端真实的IP，只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器我是从哪个页面链接过来的。ip为123.123.123.123及为请求端真实ip。

堆叠注入触发的条件很苛刻，因为堆叠注入原理就是通过结束符同时执行多条sql语句，这就需要服务器在访问数据端时使用的是可同时执行多条sql语句的方法，例如php中的mysqli_multi_query函数。但与之相对应的mysqli_query()函数一次只能执行一条sql语句，所以要想目标存在堆叠注入,在目标主机没有对堆叠注入进行黑名单过滤的情况下必须存在类似于mysqli_multi_query()这样的函数,简单总结下来就是。注入1' union select 1,2#输入1' and '1'='1。

_wakeup()是用在反序列化操作中。unserialize()会检查存在一个__wakeup()方法。如果存在，则先会调用__wakeup()方法。__wakeup()漏洞就是与整个属性个数值有关。当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。s:3:"111";