摘要:
WEB279 有一句话可以点击,点击跳转 看url是S2-001的漏洞,直接百度 %{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/proc/self/environ"})).redirectErrorStream( 阅读全文
摘要:
WEB151 抓包改个名字即可 WEB152 同上,随便传个图片马 WEB153 考点是.user.ini 注意上传图片目录下有个index.php 即/upload/index.php 首先上传一个1.png图片马 上传auto_prepend_file = 1.png 的.user.ini 这样 阅读全文
摘要:
本来主要做web的,这次变成杂项了。。。 Misc游戏 多选killing即可,有flag选flag,其他看运气 吃瓜 下载发现一张png,没法打开,二进制查看发现是压缩包 改后缀zip 解压发现题目: 看文本内容: 发现是图片base64:找网站解码 扫码 cfhwc19abika_etso{h_ 阅读全文
摘要:
warmup 传入file,检查file后缀是不是php,是就包含 用data伪协议 file=data:text/plain,<?=system(%27ls%27);?>.php 发现system()被禁用 glob看下文件 file=data:text/plain,<?php print_r(g 阅读全文
摘要:
WEB54 过滤了 一大堆东西,和之前不一样的是不能中间加\或者''绕过,但是可以用?和* 解法一: 没过滤rev函数,该函数是文件里面按字节逆序输出 c=rev${IFS}f??????? 要手动或者脚本把flag逆序一下 方法二: 不能直接用cat,但是可以在cat路径里找到他,再用?模糊匹配 阅读全文
摘要:
WEB42 >是写入 而1和2意思百度一下: 那么就是不管标准输出还是错误输出都输入到null里销毁 构造两个语句即可绕过 c=cat flag.php;ls WEB43 过滤了;和cat 其他同上一题 过滤分号用&&或||代替 注意url别直接输入&要转码 cat能代替的一大堆 c=more fl 阅读全文
摘要:
web40 别看这里过滤了这么多,其实他过滤的括号是中文括号,这里我开始纳闷了好久 先说一个打印当初路径下文件的函数:print_r(scandir('.')) 但是很明显单引号和小数点已经过滤了,这里要先办法绕过 最简单的方法是利用函数传参,那就找当前能用包含小数点的函数 还真有:localeco 阅读全文
摘要:
1 <?php 2 3 include "config.php"; 4 function filter($str) { 5 if(preg_match("/system|exec|passthru|shell_exec|pcntl_exec|bin2hex|popen|scandir|hex2bin 阅读全文
摘要:
misc1 直接给了 misc2 获得二进制文本,直接改后缀试试 misc3 题目给了一个bpg文件,BPG 是一种 JPEG 图像格式最有效压缩。可以用bgpviewer工具查看 misc4 获得6个txt文本,用二进制查看器看一下 看到不同图片的格式头部 但是全改为png,就能看到flag mi 阅读全文
摘要:
WEB29 正则表达式过滤了flag 首先先看看有什么文件, ?c=system(ls); 看到了 flag.php 用*来输出,?c=system('cat fla*'); 这时候页面还是空白,但是看前端代码 web30 过滤了system和php 可以换用passthru()代替system ( 阅读全文