m0_63253040的博客

进入环境页面右上角有个菜单，点击payflag，页面源代码里有一串php代码，这题是代码审计意思让我们post两个变量money和password，并且提示cuit指的是成都信息工程大学，这里开始抓包去post这里发现cookie里有个user=0，可能是要改成1，先不管等等看看 没有发现回显，我们把user=0改成user=1试试显然user=1就意味这我们是成都信息工程学院的学生，但是提示我们数字长度太长了，改用科学计数法这里看wp还有第二种方法，..

进入环境是一个登入页面，提示有过滤通过测试，发现万能密码登录过滤啦or，用||替代然后开始sql注入爆数据库这里union,select都被过滤，双写绕过，先看看回显check.php?username=admin&password=' ununionion seselectlect 1,2,3 %23爆数据库:geek爆数据表:check.php?username=admin&password=' ununionion seselectle.

进入环境可以看到并且测试是无过滤的直接ls然后cat

进入环境提示菜刀，给了一句话木马，连接口令是Syc开始以为是要用这句话来上传shell，但是没有找到地方，源代码，抓包，后台都没有最后是直接用蚁剑（我没下菜刀）连接就好

进入环境查看源代码点进去看看源代码没有，看看页面长啥样有个按钮 ，点进去看看回去抓包提示secr3t.php ,进去有一串php代码，意思是过滤了一些字符，且提示flag在flag.php里<html> <title>secret</title> <meta charset="UTF-8"><?php highlight_file(__FILE__); error_re.

进入环境一个登录页面，直接先尝试万能密码登录' or 1=1#密码随便输给了一大串密码，可能是flag，试着提交发现不是，有点像md5解密出来也不是，那就正常注入先爆字段admin' order by 3# //正常回显admin' order by 4# //报错密码：9977f6106e97c852fe19bab37f817cd6看回显地方' union select 1,2,3#密码都是随便输，注释了先爆数据库 :geek' un.

进入环境点开因为这题是文件包含，注意url，这里是用php://filter直接去读取flag.php但是不能直接读取，需要base64加密才能看见?file=php://filter/read=convert.base64-encode/resource=flag.phpbase64解密<?phpecho "Can you find out the flag?";//flag{e4f8fb20-0533-43a2-b00f-23f06cb7ac8e}.