qq_62046696的博客

打开界面发现有一个get传参然后，尝试任意文件读取漏洞，/etc/passwd看一下,提示下载了一个jpg图片然后打不开只能用 010查看一下信息 看来是猜对了，然后 如果日记没删掉可以查看历史记录 .bash_history呃呃呃差不到，那就看一下现在的进程python 2的app.py文件，直接读取 源码出来了，解析一下 这一块可以分析一下，我们需要获得SECRET_KEY的值，然后使key等于，最后shell进行命令执行，但是看完以后那个文件被删除了，我们怎么获得呢？后面这个3怎么来的呢，

肯定要把file从命令中注释掉这种，以前接触过闭合然后自己重新构造一个🐎，但是这里好像管道符也可以使用;这样就成功闭合掉了，然后其实还有一个疑问就是我cat /f*的时候也能用，可是|\*|\。这个也就是给传入的参数加了一个引号包起来，然后往上继续查看过滤的字符号剩下什么。如果是 新生类的话，system那里应该换为 new a(b)这种的形式，分号还有，并且tac也没 过滤，flag被过滤掉了但是可以用？报错了查看信息是引号的问题，我们还需要闭合掉引号不然就变成了。就需要我们自己写入闭合。

闭合掉，因为前面可能会有一些报错的信息，所以可以先闭合掉前面的东西，然后再来包含后面的是取反，因为在链里面所以需要用到解码，不用编码绕不过去正则，里面是/flag因为刷题多了都在根目录下面，不在的话正能一步步尝试。这里本来是用Exception构造，可是报错，因为我的php版本是5.41的然后没有Error,正在我想为什么报错的时候突然想到了，因为php7版本才引入PHP7中，可以在echo时触发__toString所以换了一个版本。PHP7中，可以在echo时触发__toString，来构造XSS。

打开界面有两个if首先要绕过第一个正则，限制了 oxoo-空格的字符 和数字，还有一些字母然后第二个就是字符的种类不能超过13个首先第一个用取反，传入?没反应。