mlws1900的博客

1、网站允许上传任意文件，然后检查上传文件是否包含Webshell，如果包含删除该文件。2、网站允许上传任意文件，但是如果不是指定类型，那么使用unlink删除文件。在删除之前访问上传的php文件，从而执行上传文件中的php代码。服务器获取文件>>>保存上传临时文件>>>重命名移动临时文件。可以看到shell已经被上传，用蚁剑连接。上传一个空内容的jpg文件，上传成功。打开环境，很简单的上传界面。1. 文件上传过程介绍。例如：上传文件代码如下。此为需要上传的文件内容。利用条件竞争文件上传。

这题目搞了半天没思路，又是从get里面传参，又是添加了header内容，一点反应都没。

判断session是不是admin，然后获取到一些值（应该就是我们post传上去的），如果匹配到php3457,pht,phtml这种特殊的后缀名，那么就结束。第三段代码是对get参数id进行校验，如果id的浮点数不是1，且最后一位是9那么实行查询语句，如果查询正确，会得到一个admin的session。get通过page传参，不能是index.php，否则包含flag.php，直接重定向到flag.php(就是界面没变)上传成功后，会切换到uploaded目录，创建文件，并将con的内容写入，

这里的漏洞考点是preg_replace函数的命令执行漏洞，一旦pattern是/e，那么就会把替换之后的结果当作php代码直接执行，就像eval函数一样。isset()函数在 PHP 中用来判断变量是否声明，此处如果这 3 个值都有传递就会执行。preg_replace()函数执行一个正则表达式的搜索和替换。观察到有一个s3chahahaDir的文件夹，进入查看。利用php伪协议获得index.php的代码内容。这么多按钮只有设备维护中心能按。利用bp抓包，添加xff头。查看到目录里面的文件。...

获取环境 很明显，看题目就是和php序列化有关的get请求接受一个var值，base64编码解码，而且对’/[oc]:\d+:/i’进行过滤，然后反序列化，到__weakup()函数，并且提示flag就在fl4g.php里面，所以构造payload 构造一下payload上面为测试，显示空白页面，base64后显示stop hacking ’/[oc]:\d+:/i’并未绕过，看了其他wp，发现只需要在类之前加上+即可后面的数字自然更改 综合payload就是

得知执行ping命令，用|,&&,||命令尝试，全部被绕过。看了其他人的wp，得知可以用@进行绕过，且为django开发。django的配置文件路径。搜索ctf，获得flag。试试127.0.0.1。显示如上图，一片空白。

看到了作者设计的小菜单，mysecrets，还是得利用assert构造payload。可以执行system函数，用cat对flag.php进行抓取。用了git和php，考虑git源码泄露和php的危险函数。打开index.php，对下面这一段代码进行分析。在这个页面看到了flag.php，无法直接打开。利用phps也不显示源码，提示无权限。得知assert()函数可以执行函数。对前面进行闭合，对后面进行注释。打开flag.php空空如也。他让我们随意点击上面的连接。可以看到/.git访问。...

意思就是买彩票，中几个数字赚多少钱，按什么都要跳转到这个页面先注册 买一次2块钱，只允许输入7位数字flag直接明码标价出售，但是要凑够9990000的钱（搏一搏，单车变摩托） bp抓包看看php为弱类型语言直接修改请求，刷钱，买flag...

打开网页，只有注册和登录选项，先看看robots.txt有什么直接下载一个user.php.bak文件，打开分析 设定了姓名，年龄，博客，博客地址利用了正则表达式其实也没有https://无所谓 选择join选项 join成功 点开admin发现?no=1,进行注入点测试显示有注入点 ，用order by 测试到4为止可以访问，存在四列 查看数据库，发现union select被过滤了，/**/可以绕过waf，获取到数据库数据库名fakebook,information_schema,mysq