解题 进来尝试sql注入，发现可以把表里的内容都查出来 尝试联合注入，发现过滤了很多东西 尝试堆叠注入,得到2个表 查看表结构，可以看到flag字段，数据库中纯数字名需要用反引号括起来 1';desc1919810931114514;# 1';desc words;# 到这就不知怎么进行查询了，看wp才知道是把2个表的名字交换，并且把flag字段的…

知识点 shell_exec()函数通过shell执行命令并将完整输出作为字符串返回 bash -c 相当于./readflag，而根据php字符解析特性，如果直接将./readflag传入，那么.就会变成下划线,从而不能命令执行 GET是Lib for WWW in Perl中的命令 目的是模拟http的GET请求,GET函数底层就是调用了ope…

解题 进来让我猜字符，然后点击Source，得到源码 <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know wha…

知识点 smarty利用 smarty中的{if}标签中可以执行php语句，得flag：{if readfile('/flag')}{/if} smarty中还有{literal}、{php}(smarty 2可用) {literal}可以让块中间的内容忽略Smarty的解析，paylaod: {literal}alert('xss');{/lit…

知识点 ssrf漏洞，这篇文章讲的很详细 ssrf利用 解题 首页让提交url，尝试127.0.0.1，提示别这样 查看源码提示?secret，随便输入得到ifconfig 猜测是ssrf漏洞 先跑ip，得到ip 跑端口，得到redis端口 直接上大佬脚本 import urllib protocol="gopher://" ip="10.66.1…

解题 查看源码 发现id处两串十六进制很奇怪，转换一下得到 0x506F2E ==> Po. 0x706870 ==> php Po是化学元素钋 直接跑大佬脚本 import requests url='http://3d062f82-c64f-4e38-9b45-94265fabea1d.node3.buuoj.cn/' flag='…

解题 用json格式尝试，一直没得结果，查看wp，当时给了源码 <?php putenv('PATH=/home/rceservice/jail'); if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking …

解题 进入题目是一个登录页面，尝试注入，无结果 查看robots.txt提示备份文件 登录页面发现猫的图一直在变化，获得猫图片的连接，发现有参数id，猜测sql注入，同时发现有image.php，尝试image.php.bak，获得源码 <?php include "config.php"; $id=isset($_GET["id"])?$_…

解题 进去提示admin账户登录，并且提示cookie 直接抓包，构造cookie，username=admin，得到flag

解题 [](https://i.loli.net/2021/01/13/GcdBtDjTsKWuNk7.jpg 查看源码，得到flag