web刷题记录 极客大挑战2019Knife upload buy a flag

 

极客2019Knife

• webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作。使用方法简单，只需上传一个代码文件，通过网址访问，便可进行很多日常操作

白给的shell，密码已经给在网页上了，直接打开蚁剑链接，根目录下就可以找到flag

极客2019upload

文件上传题，木马语句的多种格式绕过

1.先上传了一个shell，更改content-type为image/gif之后出现hint，语句不能用"<?"

 

2.改用<script language="php">,上传成功

3.直接访问/upload/shell.phtml得到flag

 

极客2019buy a flag

弱类型比较和函数绕过

1.先在pay for flag界面抓个包，发现cookie那里user=0很可疑，改成1

2.查看源码，得到hint

3.要求password==404,但要绕过is_numeric，不能是纯数字，所以上传password=404a.网页提示要1000000000来买flag，所以再上传一个money=1000000000

4.提示数字长度太长了，所以不能直接输入，改成科学计数法，得到flag