随笔分类 - ctf
摘要:[HCTF 2018]WarmUp 打开之后发现是一个滑稽 审查源码发现source.php 打开souce.php发现是一道代码审计题目 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$
阅读全文
摘要:web_php_include题解 先上源码 <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php
阅读全文
摘要:这是一个已经公开的thinkphp v5的漏洞利用 我们可以在 https://www.cnblogs.com/backlion/p/10106676.html 这里找到详细的资料 主要原因就是程序未对控制器进行过滤,导致攻击者可以通过引入\符号来调用任意类方法。 这里有大佬的详细思路:https:
阅读全文
摘要:题目给了源码,我们先进行代码审计 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { e
阅读全文
摘要:序列化: 序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 反序列化: 反序列化与 serialize() 对应的,unserializ
阅读全文
摘要:1. 发现右键无法查看源码,所以我们使用快捷键 ctrl+u 2. robots(君子协议)规范的网络爬虫爬取网站信息时第一个查看的文件,里面规定了不能爬取内容的页面。 如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。 直接访问robots.txt来获取flag 3.常用的
阅读全文
