lM178的博客

但是这里给出提示 flag在36.php文件里，但是这里用不了数字，我们要用到无数字构造，按位取反。被选中的是37个-1 外面有一层把里面包裹了，然后就等于把里面37个-1再次取反得到36。echo $(($((~$(())))$((~$(())))))的结果是-2。~是按位取反，这里要先取反得到-37然后再次取反得到36，取反的时候会加一。这里过滤的比较多了，可以用文件上传，自己制作一个文件上传的表单。echo $((~$(())))的结果是-1。echo $(())的结果是0。

scandir()：列出该文件夹下所有文件/文件夹，形成正序数组。array_reverse()：把数组倒叙，让新增文件排到前面。print_r()：直接显示flag文件名，无需查看完整数组。dirname（__FILE__）：拿到当前文件的路径。先看看我们的这个文件夹里有没有flag.php。next()：第二个元素，跳过第一个。过滤的有点多了，使用无参RCE。下面解释一下上面用到的php。__FILE__：当前文件。

第五行：现在$_GET就是$_SERVER，只要你$_SERVER里的HTTP_FLAG等于flag，就输出$FLAG，否则只显示代码文件。第四行：哪怕你cookie也传flag=flag，$_GET也会变成$_SERVER。第三行：哪怕你传flag=flag，$_GET也会变成$_COOKIE。第二行：判断有没有GET传参，如果有，不管你传什么都会变成POST。第一行：代码先拿到flag.php。

'空格][空格']["][`][空格`][`空格][>][<]然后中间，连接数据库，漏洞就出在这里，直接拼接$user。我们先构造password就是sha256(密码+盐)$盐。发现不行，查看源码。只能存在 [数字或字母'数字或字母]的格式。这里是先判断user和pass是不是非空的。这里的%09是空格，不然会被第一部分过滤掉。将password用$分开，然后第一部分。pls_help高亮的。是密码+盐的哈希值，第二部分是。我们需要创造一个新的记录。然后重点是下面的部分。

摘要：通过BurpSuite抓包分析发现目标网站存在POST请求漏洞。使用sqlmap工具对1.txt文件中的请求进行注入测试，确认存在高危SQL注入漏洞。依次执行爆表、爆列操作，最终从skctf数据库的fl4g表中提取出flag数据：7bc17ff3453fef76f405bf3fb68cc9a9。整个过程展示了完整的SQL注入利用流程。（99字）

uname 的sha1加密结果和passwd的sha1的加密结果必须完全相等（===），同时GET参数id必须等于margin；uname(GET)和password(POST)不能相等，否则会返回“passwd can not be uname”必须传入GET参数uname，还要传入POST参数passwd；这个时候sha1(uname) === sha1(passwd)就成立了。例如 uname[]=123和 passwd[]=456。NULL === NULL是严格相等的。

再尝试了很多遍后，这个语句成功了，from information where被过滤了。1' uniunionon selselectect 1,2,3# 查回显。发现只有1=1 前面的or没了，所以or应该是被过滤了，所以我们用双写绕过。buuctf [极客大挑战 2019]BabySQL1。这里我们就可以用双写绕过进行正常注入了。输入万能密码1' or 1=1 #但这里不是，所以用下面的注入点。正常应该返回''1'''

此时我们需要访问一下我们刚刚的上传成功的图片路径激活一下，然后用蚁剑连接，访问根目录。但是此时还是不行因为服务器不会把图片当作php执行。它的作用是指定1jh.png由php解释器处理。就可以看到flag文件了，打开就是flag。有个上传页面，我们上传一个然后抓包。此时是不行的，我们尝试绕过。所以现在我们需要上传一个。