你好

读取 file2 文件的内容，检查是否等于 "hello ctf"。这里用的是base64加密，也可直接用utf-8，出现flag。检查用户是否传递了 file1 和 file2 参数。加载 flag.php 文件（可能包含敏感信息）。如果条件满足，加载 file1 指定的文件并执行。检查 file1 和 file2 是否为空。这里第一时间想到用伪协议读取flag文件。上来就是一段代码审计，浅分析一下。高亮显示当前文件的源码。php为协议推荐这篇。

在本题中，变量就是language，至于为什么选择base64编码方式，可以再bp里面爆破一下。至于最后一项为什么是flag而不是flag.php因为这句源码的意思就是：自动拼接文件名，将。进到题目提示，flag的位置在flag.php里面，因此提示这是一道文件包含的题目。那么接着我去查看了网页源代码，发现一串php代码，开始审计。了解搜索发现这是一个php为协议（常见的有以下几种）我一般会简单查看一下，发现什么都没有，一片空白。不为空），则加载对应的语言文件（如。中获取用户设置的语言值（

那么和.user.ini和a.jpg同一目录下的所有php文件都会包含a.jpg文件。接着尝试在构造时加上GIF89a（图片文件头）--一定是短标签＋图片文件头。更改文件类型后，点击发送，则上传成功。但可以看出过滤成功，那就尝试在抓包过程中改成php后缀文件。而在这道题目中我们需要加上图片头GIF89a，所以。加上图片头之后可以上传成功，但是蚁剑无法连接。打开题目是一个很明显的上传点，一句话木马尝试。例如在.user.ini文件中写入。首先上传.user.ini文件。全部上传成功过后，蚁剑连接。

打开环境只有简短的一句话意思是：输入id，并尝试绕过确实没什么反应，需要尝试绕过。。下面搜集了三种方法供大家“食用”

初始页面的文件名，一般为index.phph或者是default.html。通常情况下，初始页面的文件名一般为index.php,他在网络的根目录下。（不同的web服务器对文件可能有所不同）在了解大概情况之后，我在url尝试输入index.php，发现直接弹回1.php了。发现index.php,点击进入之后，发现了flag。其实拿到题目之后就有一个小小的提示——“初始页面”发现没反应之后我又尝试f12。

对于b的话，我们可以传给他6666a，这样b就不是数字串，6666a会自动转换成6666再去和1234进行比较，他比1234大因此得到true。那么对于a的话，我们直接传一个字母a进去，因为a是没有赋值的，所以通过比较，字符串‘a’==0是true的，并且a也是true的，因此符合条件可以得到flag1。又因为php是弱语言类型“==”仅仅表示的是数值相等，而且当数字和字母组成的字符串比较的时候，仅会以前面的数字参与比较。第二次，如果b是整数或者是是数字的时候，字符串会被退出。

但是还是想暴力破解试一下，打开我们的老朋友burp（我用的是中文版的，但是其实都差不多）发现只有123456的长度跟别的不一样，所以我们爆破得出密码。再随便输入账号密码，点击登入后。右键发送到Intruder。然后设置爆破规则（这里我用的是自己的字典），随即开始攻击。看到这道题目，第一想法可不可以尝试一下暴力破解。woc随便输入了个123456就把密码蒙对了。我们在这里添加一个payload的位置。打开内嵌浏览器，输入网址，得到回显。进入题目后，真的是随便输入个密码。

那么我们只需要删除这个属性就ok（把disabled这几个字母删除就ok，双击这个单词然后就可以删除了）点击f12查看，发现input被设置成了disabled属性。接下来回到题目，发现按钮可以点击了，直接出flag。点进去之后，确实诶，有个按钮但是点不动。题目给的提示：前端、按钮。

发现一句英文，不知道什么意思，直接百度翻译，非常明显的告诉我们了，让我们查看http响应。果然发现cookie.php进入相关页面在（URL输入cookie.php即可）我们在URL上面输入cookie.php的时候，已经自动跳转，得到falg了。ok简单了解过后我是直接f12看看有没有什么有用的信息。我不知道，我直接百度吗，简单学习一下。打开题目，满屏cookie啊。

回想题目名字叫做backup，并且在搜索过后发现index.php的后缀名可以加.bak,所以我就试了一下在URL打.bak（全：index.php.bak）出现了个下载的文件，不要慌张，另存在桌面用记事本打开。打开题目，就看见了一个小小的提示“备份”根据提示在URL打了但是没什么反应。oky，flag直出。

发现了个flag_ls_h3re.php,还是老规矩啊，放到URL看看（直接复制粘贴进去就可以）那么好，我现在知道了他就是一个robots.txt文件，那我直接放到URL看看。进入环境之后一片空白啊，看来只能从题目入手，看看robots协议到底是什么吧。咱们也是简单检索一下就发现了robots协议啊，大家有兴趣的可以点此链接观看。oka他直接告诉我们flag不在这，那我们只能重新回到robots协议了。但是在此之前呢，我家是习惯性看下他的源代码，看看能不能发现什么信息。

按照要求提交之后，他又有个要求：用post方式随便提交一个名为b，值为2的变量。打开题目，看见很明显的提示：用get方式提交一个名为a值为1的变量。接下来我们需要用到一个工具--MantraPortable.exe。在下面框里面随便输入b=2（任何数字都可以），然后点击左边。打开之后我们只需要把我们复制好的网址放进去，然后点击。就可以了，直接出flag。

看到这道题的时候，隐隐约约感觉给我们提示了。那不就是让我们想办法查看网页源代码嘛。ok既然他说右键用不了，那我们直接f12。答案直接出来了哈哈哈哈。

位置设定好了之后，我们设置破解范围。这里面我选的是数值，从0-10000（因为原网址给的就是id=1，我们只需要把1换一下就行）设置好后开始攻击就可以了，扫描之后结果如下（这给地方就是看长度跟别人不一样那么这个大概率就是我们攻击的结果）这里教大家一个快捷方式，就是长度这个地方可以选择从大到小或者是从小到大排序，可以一目了然，就不用一个个去找了。然后我用的工具是burp，打开内嵌浏览器，把网址复制进去之后，我是随便弄了个日期。点击左边目录栏，发现只有一处不同——报表中心，正好与题目相呼应，随即从此入手。

反序列化漏洞通常发生在未经过滤的用户输入被反序列化的情况下。如果攻击者能够控制反序列化的数据，他们可能会注入恶意对象，触发类中的特定方法或属性，导致意外行为。当序列化字符串中属性个数大于实际属性个数时，不会执行反序列化，从而跳过wakeup（）原本：O:4:"xctf":1:{s:4:"flag";s:3:"111";方法在对象反序列化时被调用。这段代码中，当该类对象被反序列化时，将立即调用。包含序列化对象数据，就可能触发反序列化漏洞。，初始值为'111'，并且定义了一个。方法被调用，从而终止脚本执行。

因此我们知道这题的要求是对admiin进行URL编码，因为$_GET本身自带一次urldecode，题目本身又进行了一次urldecode，所以要对id赋的值admin进行两次url编码。就很莫名其妙有没有，然后我检查源代码和f12都没什么信息，回头看题目，他的名字是PHP2，那么就很容易联想到php嘛，先进phps。直接在URL输入/index.phps就可以直接发现源代码，接下来进行代码审计。这里我用的是burp自带的编码工具进行两次编码。然后在URL中加上就ok了。还去百度翻译翻译了一下。

出来了一个fl0g.php，再次写入，直接得到答案。点击进靶场之后发现有一块标蓝，点击后没反应。翻译之后，发现一个robots.txt。直接写进看看有什么信息。