解题 进来什么都没有，扫描发现git泄露 得到两个文件 flag.php <?php $flag = file_get_contents('/flag'); index.php <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach(…

解题 代码审计 <?php error_reporting(0); //听说你很喜欢数学，不知道你是否爱它胜过爱flag if(!isset($_GET['c'])){ show_source(__FILE__); }else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) &…

知识 scandir() 函数返回指定目录中的文件和目录的数组。 var_dump()函数显示关于一个或多个表达式的结构信息，包括表达式的类型与值。数组将递归展开值，通过缩进显示其结构。 file_get_contents() 把整个文件读入一个字符串中。 解题 进来就一个计算，没发现问题 查看源码发现有个calc.php文件 首先过滤了空格，可以…

$md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else { echo "fals…

解题 这是个套娃题目,一直抓包看源码 得到被打乱顺序的flag 看大佬脚本 from itertools import permutations flag = ["{hey", "_boy", "aaaa", "s_im", "ck!}", "_baa", "aaaa", "pctf"] item = permutations(flag) for …

解题 进来显示购买东西 买100的就给flag,初始有50 尝试购买,抓包,post参数id值为0,session猜测base64 base64解码 购买100的 把钱改成100然后发包过去 得到flag

解题 <?php error_reporting(0); if (isset($_GET['source'])) { show_source(__FILE__); exit(); } function is_valid($str) { $banword = [ // no path traversal '\.\.', // no stream…

知识点 arjun工具：一款功能强大的HTTP参数挖掘套件 使用方法 功能介绍 多线程； 四种检测模式； 常规扫描仅需30秒； 基于正则表达式的启发式扫描； 提供了25980个可扫描的参数名； 只想目标发送30-5个请求即可完成任务； 解题 首页没东西，看源码也没有提示，看wp知道可用arjun获取get或者post参数 得到参数name ?nam…

解题 进来看源码提示，提交get参数，名字是search 尝试ssti{{7*7}} 查看所有模块，{{().__class__.__bases__[0].__subclasses__()}} 查看到可以用的类<class 'warnings.catch_warnings'>，在59位，构造payload {{().__class__.…

知识点 WEB-INF/web.xml泄露 WEB-INF主要包含一下文件或目录: /WEB-INF/web.xml：Web应用程序配置文件，描述了 servlet 和其他的应用组件配置及命名规则。 /WEB-INF/classes/：含了站点所有用的 class 文件，包括 servlet class 和非servlet class，他们不能包含…