Web2

查看源代碼得到flag

計算器

修改input框maxlength輸入答案即可得到flag

Web基礎(chǔ)$_GET[]

payload: http://120.24.86.145:8002/get/?what=flag

Web基礎(chǔ)$_POST[]

矛盾

從源代碼看到溯革，他對我們輸進去的num進行了判斷

1、不能全是數(shù)字

2、num==1

這里有弱類型比較橱鹏，只要我們的num為1+任意字符都可以

payload：http://120.24.86.145:8002/get/index1.php?num=1s

web3

打開網(wǎng)頁看到彈窗，禁止彈窗后我們在源代碼中看到一段html字符實體編碼

解碼得到flag

域名解析

修改hosts文件掀淘，訪問flag.bugku.com即可

本地包含

$a=@_REQUEST['hello'];? 可以看到a可控倒庵，并且后面會將a打印出來

payload：http://120.24.86.145:8003/?hello=file_get_contents("flag.php")

查看源代碼得到flag

變量1

從源碼中我們可以知道flag在變量中，而在php中一個變量的內(nèi)容是可以成為一個變量名的废登，比如

而$GLOBALS是一個包含了全部變量的全局組合數(shù)組。

構(gòu)造payload：http://120.24.86.145:8004/index1.php?args=GLOBALS郁惜，即可爆出所有變量

Web4

Urldecode得到

eval語句里面的內(nèi)容為

將這一串?dāng)?shù)字輸進去就好

flag在index里

點擊click me?no看到url上面多了個file參數(shù)堡距，于是嘗試將index.php讀出來

http://120.24.86.145:8005/post/index.php?file=php://filter/read/convert.base64-encode/resource=index.php

得到一串base64，解碼得到flag

網(wǎng)站被黑

看到題目名字網(wǎng)站被黑兆蕉，自然就會想到用御劍掃一掃看看有沒有什么東西

得到一個shell.php羽戒，訪問看到要我們輸入密碼，于是burp爆破虎韵，輸入密碼得到flag

備份是個好習(xí)慣???????

打開看到一串字符串易稠，發(fā)現(xiàn)這串字符串是一段小字符串重復(fù)了兩次得到的，于是取前半部分進行md5解密得到

不知道什么意思包蓝，又想到題目說備份驶社，一般備份都是.swp , .bak , ~，嘗試了一下测萎，在

http://120.24.86.145:8002/web16/index.php.bak下得到了備份源碼亡电，解讀發(fā)現(xiàn)只要key1和key2的MD5值相等并且key1 key2的值不相等，就可以得到flag绳泉，但是在前面字符串處理過程中key被替換成了空且只處理一次逊抡，所以考慮雙寫進行繞過?

Payload：

http://120.24.86.145:8002/web16/?kkeyey1=QNKCDZO&kkeyey2=s878926199a

秋名山老司機

打開網(wǎng)頁看到

多刷新幾次就會看到

那就很明顯是說讓我們把之前式子算出的值post過去，于是上腳本得到flag

速度要快

訪問網(wǎng)址他說“我感覺你要再快點！Ｃ暗铡拇勃！”，于是burp抓包發(fā)現(xiàn)響應(yīng)頭中有一串flag孝凌，并且說將你找到的margin值post過去

到這里就知道我們需要將我們找到的這一串flag最后base64解碼的數(shù)字傳過去方咆，上腳本

Cookie欺騙

打開鏈接看到一串不知道有什么用的字母，并且url上多了兩個參數(shù)蟀架，line和filename瓣赂，將filename? base64解密得到keys.txt,嘗試將其替換成index.php，看到空白片拍，于是嘗試給line傳入?yún)?shù)1煌集，發(fā)現(xiàn)出現(xiàn)了一行代碼，多嘗試幾個發(fā)現(xiàn)其參數(shù)的意義就是輸入幾就返回第幾行的代碼捌省，于是用腳本提取index.php的代碼

index.php

解讀源碼發(fā)現(xiàn)除了存在keys.txt和index.php外苫纤，還存在keys.php，并且如果存在cookie margin=margin時纲缓，就可以讀取keys.php的內(nèi)容卷拘，于是抓包修改得到flag

Never give up

修改id沒有發(fā)現(xiàn)東西，于是查看源代碼祝高，發(fā)現(xiàn)1p.html栗弟，于是嘗試訪問，發(fā)現(xiàn)直接跳轉(zhuǎn)到了http://www.bugku.com/工闺，既然有跳轉(zhuǎn)乍赫，那我們就嘗試一下讀取源碼

view-source:120.24.86.145:8006/test/1p.html

url解碼，base64解碼陆蟆，再url解碼得到

看了一下代碼耿焊，需要傳入id，a遍搞，b，如果a中包含.就會返回no no no no no no no器腋，否則就將a文件的內(nèi)容讀取到data中溪猿，如果a文件中包含"bugku is a nice plateform!”，并且id=0纫塌，b的長度大于5诊县，1114中是否符合"111".substr($b,0,1)，而substr($b,0,1)!=4措左，才會請求f4l2a3g.txt依痊，一開始還想要怎么通過傳參來讓他請求f4l2a3g.txt，后來轉(zhuǎn)念一想直接訪問不就好了嗎

payload：http://120.24.86.145:8006/test/f4l2a3g.txt