xunyue88的博客

第一眼找unserialize函数，结果没有；再找echo flag，有；再找类里面的属性，3个；再看看到居然有GET直接传参。b:1}（这里少打一个；把我坑死了QAQ）加上还要URL输入才行，抓包输入的序列化都要URL输入吗？GET的两个参数和反序列化无关，就不用写进去，主要让VIP变成ture就行。

web1（F12）web2（关闭浏览器js、view-source+url、ctrl+u）web3（看不见源码就F12-network、抓包）web4（robots.txt信息泄露）web5（phps源码泄露）web6（www源码备份压缩包泄露、.rar .zip .7z .tar.gz .bak .swp .txt）web7（版本控制原源码泄露、.git）web8 (版本控制原源码泄露、.svn)web9（vim缓存泄露、第一次意外退出生成的是.swp、第二次.swo、第三次.swn）

优快云很多格式错误,不晓得怎么改,自己清楚原理就行QAQ开始fuzz以为空格过滤了,结果没有。万能密码也行 0’ or ‘1’=‘1’–+

web21（bp爆破、Authorization请求头用于验证是否有从服务器访问所需数据的权限、payload添加前缀、payload编码、取消url部分字符编码）web22（layer子域名爆破）

id=125

前端改成ini可以通过,抓包修改文件类型就把.user.ini传进去啦,因为我传的是一个一句话图片马,所以经过ini的解析,这个upload文件夹里的index.php会解析木马,直接用ants连接index.php就行。扫了一遍目录,/upload/index.php居然文件夹有index索引,可以利用.user.ini文件来进行上传(.htaccess文件只能针对Apache环境,这里是nginx,F12可以看)照葫芦画瓢,但是抓包改为php后,提示unicode"文件类型不合规"

localeconv():返回包含本地化数字和货币格式信息的关联数组,这里主要是返回数组第一个"."next():将数组指针指向下一个,这里可以省略倒置和改变数组指针，直接利用[2]取出数组也可以。eval了GET的参数，没过滤就system执行，但是匹配到大小写的flag就不执行。①其实就是highlight_file(flag.php);②通过嵌套eval函数来获取另一个参数的的方法来绕过，不会判断其他参数的传入。scandir():遍历目录，这里因为参数为"."所以遍历当前目录。

③没有i的大小写绕php,用input POST。①替换了php,用base64绕过。啥都没过滤,一般伪协议。