Kobalos的博客

查看题目发现题目要求get请求传输一个url参数，并且看到了include，估计需要使用伪协议进行包含，进行尝试http://28d722fe-b9a5-4ab9-887f-d07990104493.challenge.ctf.show/?url=php://input发现报错error，继续尝试其他协议发现都显示error尝试直接在后面加文件http://28d722fe-b9a5-4ab9-887f-d07990104493.challenge.ctf.show/?url=/etc/pa

<?phpif(isset($_GET['file'])){ $file = $_GET['file']; if(preg_match("/php|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=|\./i", $file)){ //如果file参数中存在这么多元素就显示errer die("error"); } include($file);}else{ highlight_file(_

访问题目地址，发现php代码分析一下代码<?phpif(isset($_GET['file'])){ $file = $_GET['file']; //GET传递file参数 $file = str_replace("php", "???", $file); //将php转换成？？？ $file = str_replace("data", "???", $file); //将data转换成？？？ $file = str_replace(":", "?

打开题目，发现了php代码<?phpif(isset($_GET['file'])){ $file = $_GET['file']; //GET传入参数file $file = str_replace("php", "???", $file); //将传入的file参数中的php转换为？？？ include($file);}else{ highlight_file(__FILE__);}参考知识点发现是个简单的过滤方式，这时候想到可以用data

查看代码<?phphighlight_file(__FILE__);$cmd=$_POST['cmd'];$cmd=htmlspecialchars($cmd);$black_list=array('php','echo','`','preg','server','chr','decode','html','md5','post','get','file','session','ascii','eval','replace','assert','exec','cookie','$','in.

直接访问目标地址，看到输入框，尝试任意输入输入1’输入1’ #返回正常,确认存在注入输入1’ order by 2 # 返回正常输入1’ order by 3 # 返回报错再试着输入select测试返回点：1’ union select 1,2 #，发现select被过滤尝试堆叠注入：1’;show databases; #输入 1’;show tables; #输入 1’;show columns from flagg#输入 -1’;use supersqli;set

访问目标地址，发现只有一句话提示源码里面没找到什么提示，尝试扫目录，发现了一个index.phps，里面存在php代码整体逻辑就是传入一个id参数，当这个参数完全等于admin时，不可以访问，但是想得到key需要这个值和admin相等，并且浏览器会自动进行一次url解码注：所以判断将admin进行两次url编码赋值给id，应该就可以了，构造payload并尝试http://111.200.241.244:63848/?id=%25%36%31%25%36%34%25%36%64%25%36%

访问目标地址，发现是一个叫做黑客新闻的页面随便输入了一下，发现是一个post传输的参数，并且明文传输，初步判断可能存在注入加入一个单引号看一下，可以发现确实报错了再在后面加入#试一下可以发现确实是存在注入的，且第一个单引号闭合了输入逻辑，#注释掉了后面的单引号，试着找一下字段数吧asd'union select 1,2,3 # 使用该语句时未报错，当数字为1或者1，2时报错，得出字段数为3看页面回显发现，能够显示的位置为，二号位和三号位，之后可以在二号位和三号位输入执行语句

直接访问目标地址，发现是一个404页面查看源码也没有发现什么有用的提示，所以尝试爆破目录这里爆破出了一个robots.txt，查看一下发现robots.txt中提示了一个php文件，尝试访问可以看到在下方有一行代码，定义了一个传入的参数x，但是并没有告诉这个x应该是什么值if ($_GET[x]==$password)试着爆破这个值可以看到当x=admin时，应该是可以正常访问的构造payload并访问：http://114.67.246.176:16192/resusl.ph.

直接访问目标地址看到只有一个“请从本地访问的提示”，尝试伪造xff只需要在请求头中加入 X-Forwarded-For: 127.0.0.1即可成功得到flag！

直接访问目标地址，发现他给了一个上传点看到他的提示让上传一个图片，不能上传php，那就先上传一个正常图片看看是什么样子的可以看到上传成功后是直接给出上传后的地址的，并且还给出了超链接，那么来尝试一下上传木马直接爆破后缀，失败，尝试绕过限制讲请求包中的Content-Type: multipart/form-data，修改成Content-Type: Multipart/form-data（将m大写），再次爆破后缀名，发现php4上传成功了掏出蚁剑尝试连接shell成功getshel.

直接访问目标地址看到一个登录框，但是不管输入什么点击登录都没有反应，f12查看一下源码看到了一个admin.css，是一个超链接，点击看看看到了一个/* try ?11268 */，看起来像是要传参的，试一下，果然发现了php代码分析一下代码<?phperror_reporting(0);$KEY='ctf.bugku.com';include_once("flag.php");$cookie = $_COOKIE['BUGKU'];if(isset($_GET['112.

访问目标地址看到是php的代码，格式应该是经过混淆加密的推荐一个节省时间的网站: https://www.zhaoyuanma.com/phpjm.html解出来发现是一个木马，试着用蚁剑连接一下，成功！但是执行命令的时候显示red=127，猜测应该是有disable_functions对执行命令的函数进行限制，查看phpinfo确认一下果然禁止的差不多了，试着用蚁剑插件市场下载的绕过工具进行绕过！看到插件中显示的绕过需要的条件都满足了，直接点击开始，他会在当前目录下传文件使用蚁.

访问目标地址看到页面上的提示，你是来自google么，抓包看到请求中没有referer参数，想到定义一个referer并且指向google应该就可以了成功得到flag注：

直接访问目标地址，发现是一个管理系统的页面这时候看到了提示题目给的提示： hint:SQL约束攻击，去百度了一下知识点简单总结利用方法就是：在sql的搜索中，admin等同于admin+若干空格，而admin和admin+若干空格可以分别创建账号，在登录时输入admin，则会调用admin们的密码，只要有匹配成功的即可登录，实现任意用户登录回到题，根据题目的login可以猜想，利用sql约束成功登录应该就可以得到flag，先随便创建一个账号试试。随便创建的用户显示不是管理员权限，那么在创建.

看到提示了nc 114.67.246.176 13828在终端连接nc这时候看到了描述中的提示，flag在flag变量里面！尝试打印flag变量发现他报错了，再尝试下任意打印一个字符串试一下任意输入的字符a被成功打印，猜测应该是对输入的长度进行限制打印“aa”又报错了，猜测输入的字符长度应该被限制在10以内这时候想到help函数，借助报错信息应该可以带出flag成功得到flag！...

看到下面本该是目标地址的位置，出现了一行命令，直接复制到终端ls查看目录发现查看成功，并在下面发现了flag文件，尝试查看成功得到flag！温馨提示：此题性价比极低，并不推荐做

访问目标地址发现了一段php代码，又是代码审计的问题分析代码<?php error_reporting(0); require __DIR__.'/flag.php'; $exam = 'return\''.sha1(time()).'\';'; if (!isset($_GET['flag'])) { echo '<a href="./?flag='.$exam.'">Click here</a>'; }.

访问目标地址，发现是一个二手交易网站看到一些功能需要登录才能使用，选择注册一个账号登录好之后，随便翻看一些功能点，可以看到id参数理所应当的想到了注入，但是尝试未果，选择换个思路在个人资料处看到了更换头像的功能，这是一个上传点！抓包看看！可以看到他是把image后面的内容base64加密了，试着模仿他的格式把木马加密试试可以看到上传成功，并且返回了路径，尝试连接这个木马成功得到flag！...

访问目标地址！看到他的提示，随意传输一个参数,尝试传入一个a可以看到传入的参数直接被打印了出来，并且显示了源码先尝试一下phpinfo能不能正常打印吧，http://114.67.246.176:10575/?a=${phpinfo()}发现phpinfo可以正常回显，回过头看源码，发现ban了大量的命令执行的函数，尝试使用passthru()http://114.67.246.176:10575/?a=${passthru(%22ls%22)发现执行成功，然后就是漫长的找fla.

访问目标地址可以看到是个成绩查询的简单小功能，输入一个1抓包试试可以看到一个id参数，疑似注入，上sqlmap！存在注入！最后也是成功得到flag！

访问目标地址，可以发现是一个空白页根据描述中说的马，最后是($_GET[‘s’])，所以应该是传入一个s参数发现whoami执行成功了，接下来看下都有什么文件找找flag在哪里查看这个flag什么什么的文件成功得到flag！...

直接访问目标地址因为没有什么明显的提示，所以尝试看源码！可以看到源码中是提示了一个1p.html的，尝试访问这个文件发现他直接跳转到了bugku的一个论坛，所以判断1p.html是存在跳转设置的，抓包看下看到这堆字符串的开头是%3C，应该是url编码，尝试解码解出来看格式，应该是base64，继续解码！成功得到代码！";if(!$_GET['id']){ header('Location: hello.php?id=1'); exit();}$id=$_GET['id'.

访问目标地址，发现了一串不知道在表达什么的字符串看到url最后是一个base64加密了的字符串“a2V5cy50eHQ=”，尝试解码尝试用 filename访问index.php（原url使用base64，这也将index.php进行编码），line参数应该是行数，试一下 line=2那么尝试把line改成3看看会发生什么呢到这里可以猜测，每改一次行数就会显示一行源码！我们尝试把line改成20的时候，发现是个空白页，不断减少范围，发现共有18行源代码！构造脚本！代码如下：im.

访问目标地址！看到提示，五位数的密码，所以尝试抓包爆破密码成功得到密码12468，输入到框框尝试一下成功得到flag！

直接访问目标地址发现有一个跳转链接，点击尝试，发现跳转到/index.php?file=show.php看他的url还有题目名字，确定这里应该就是文件包含的漏洞点了CTF中经常使用的是php://filter和php://inputphp://filter 用于读取源码php://input 用于执行php代码php://filter/read=convert.base64-encode/resource=[文件名] 用于读取文件.

访问目标地址，发现一个输入框，还有一个让查看源代码的提示跟着提示走，右键查看源代码可以看到9、10行是url编码后的代码，猜测这里就是解题的关键复制下来，进行解密试试注：http://tool.chinaz.com/tools/urlencode.aspx根据源码中的逻辑提示进行拼接将解密后的代码拼接好之后进行美化，方便查看注：https://beautifier.io/根据代码，将if后的字符串写到题中的输入框里面，成功得到flag！...

直接访问目标地址没有发现什么有用的提示，直接常规思路f12查看，发现flag

访问目标地址扫描了目录，没有什么有用的发现尝试f12查看响应头，意外发现flag…

访问目标地址，发现又是代码审计的问题…抓住两个地方，一个是正则表达式匹配，不匹配则直接pass，该正则表达式应该是匹配都是字母的串。然后最关键的是最后的KaTeX parse error: Can't use function '$' in math mode at position 17: …rgs,这是可变变量的意思，如$̲args的值是另一个变量的变量…args就代表另一个变量。所以我们就给args赋值一个变量名，那么PHP的九大全局变量，一个一个试，并且eval函数可以让传入的变量执行。尝.

访问目标地址，发现一段php代码首先做一个简单的分析<?php include "flag.php"; ///include是将flag.php文件包含进页面代码，顺便提示了flag位置 $a = @$_REQUEST['hello']; ///$_REQUEST可以用于接受get和post传递的参数 eval( "var_dump($a);"); ///eval函数可以把字符串当作php命令执行 show_source(__FILE__);?&g.

访问目标地址，可以看到是一个管理员登陆页面f12查看源码，发现一段base64加密的字符串解码结果为test123，因为是管理员系统，所以暂时猜测账号密码为，admin/test123尝试登录发现失败了，显示ip禁止访问联想到题目是本地管理员，所以尝试XFF-IP伪造点击发包，成功在返回包中发现flag注：...

网站被黑访问目标地址，发现是一个黑页再根据描述中说的可能会有后门，猜测可能存在webshell，扫描目录发现shell.php访问shell.php,发现是个webshell爆破webshell的密码，发现密码是“hack”在webshell中输入密码，成功得到flag...

你必须让他停下直接访问地址，发现网站一直在刷新使用burp抓包，在返回包中发现flag

alert直接访问地址，发现alert弹窗发现这个弹窗一直在循环，没办法进行其他操作，所以尝试在url前面加上view-source:来查看源码在源码中发现一段unicode编码后的密文解码后发现flag

矛盾访问地址发现要审计代码$num=$_GET['num']; ///get传入一个num参数if(!is_numeric($num)) ///is_numeric判断参数是否是数字或数字字符串，！表示否定{echo $num; ///输出num参数if($num==1) ///判断num是否为1echo 'flag{**********}'; ///如果num是1，则输出flag}所以只需要用get方式传入一个num，使得他不是数字且为1方法一：可以使用

POST首先查看题目，发现描述了一个POST，盲猜是要POST传输访问地址，发现简单的赋值判断&what=&_POST['what']; //定义一个名为what的参数，并使用post方式进行传输echo $what; //输出参数whatif($what=='flag') //如果what参数的值为flagecho 'flag{****}'; //输出flag直接使用hackbar插件，post传输what=flag，发现成功显示flag！...

GET访问页面，发现是一个简单赋值判断&what=$_GET['what']; ----使用get方式传入一个what参数echo $what; if($what=='flag') ----如果传入的what参数是flagecho 'flag{****}'; ----输出flag尝试payload：/?what=flag ，发现成功显示flag...

计算器在题目的描述中，可以看到提示，计算正确即可得到flag那么访问下地址试下根据提示猜想，应该是只需要输入正确的计算结果即可，但是输入的时候发现，输入框仅支持一位数字F12找到框框对应的代码，修改对应的输入长度限制发现可以输入正确的答案，并成功弹出flag！...

Flask_FileUpload访问目标，发现一个文件上传模块f12查看源码，发现仅允许上传.jpg文件和.png文件，并在下方发现一条提示：对于上传的文件会被当作python文件执行编写一个可以查看flag的脚本，并以.jpg作为文件后缀尝试上传，发现上传成功，并正确以python的方式执行，成功拿到flag...