這個(gè)雪來的一點(diǎn)都不好器紧。耀销。。铲汪。熊尉。。掌腰。狰住。。齿梁。催植。

根據(jù)提示，應(yīng)該添加個(gè)請(qǐng)求頭referer:https://www.google.com 可以用burp抓包勺择，也可以用modify headers 添加請(qǐng)求頭

這里要注意创南，，referer:www.google.com? 出不來省核，必須要加上https://

還有就是 不知道為啥referer信息 夾在中間 它才出來 其他地方不出來

剛好之前學(xué)到過這個(gè)稿辙，MD5進(jìn)行判斷時(shí)若果兩串字符加密后是0e? 會(huì)以為是科學(xué)計(jì)數(shù)法就會(huì)判為相等 QNKCDZO MD5加密后開頭是0e 所以再找一串字符加密后是0e就可以繞過

0e開頭的md5和原值：

QNKCDZO

0e830400451993494058024219903391

240610708

0e462097431906509019562988736854

s878926199a

0e545993274517709034328855841020

s155964671a

0e342768416822451524974117254469

s214587387a

0e848240448830537924465865611904

s214587387a

0e848240448830537924465865611904

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

s1885207154a

0e509367213418206700842008763514

s1502113478a

0e861580163291561247404381396064

s1885207154a

0e509367213418206700842008763514

s1836677006a

0e481036490867661113260034900752

s155964671a

0e342768416822451524974117254469

s1184209335a

0e072485820392773389523109082030

s1665632922a

0e731198061491163073197128363787

s1502113478a

0e861580163291561247404381396064

s1836677006a

0e481036490867661113260034900752

s1091221200a

0e940624217856561557816327384675

s155964671a

0e342768416822451524974117254469

s1502113478a

0e861580163291561247404381396064

s155964671a

0e342768416822451524974117254469

s1665632922a

0e731198061491163073197128363787

s155964671a

0e342768416822451524974117254469

s1091221200a

0e940624217856561557816327384675

s1836677006a

0e481036490867661113260034900752

s1885207154a

0e509367213418206700842008763514

這里就使用 a=240610708進(jìn)行繞過

根據(jù)提示，從本地訪問芳撒，使用firefox瀏覽器插件設(shè)置IP為127.0.0.1

得到源代碼

使用get方式傳id的值? id的url編碼和id的值一樣

用get方式傳uname? ?post方式傳passwd 并且 uname和passwd的值不相同? 但是sha1相同 邓深，，sha1可以通過數(shù)組來繞過笔刹，sha1不能處理數(shù)組芥备，會(huì)返回flase ，舌菜，?

所以 構(gòu)造 uname[]=2? passwd[]=1? ?id='margin'? //margin的url編碼還是margin

用Firefox的插件Hackerbar用post方式傳passwd的值? 得到flag

得到源碼

百度了各個(gè)函數(shù)的功能

extract()

empty()函數(shù)是用來測(cè)試變量是否已經(jīng)配置萌壳。若變量已存在、非空字符串或者非零日月，則返回 false 值袱瓮；反之返回 true值。所以爱咬，當(dāng)字符串的值為0時(shí)尺借，也返回true。

trim()函數(shù)剛寫過 是去除字符串兩邊的固定字符空格之類的

file_get_contents()是讀取文件將文件中的文本作為返回值

題目給的提示是有一個(gè)txt文本精拟，燎斩，虱歪，，不斷測(cè)試發(fā)現(xiàn)有一個(gè)flag.txt? 里邊的字符串是flags

代碼中輸出flag的條件是ac不為空并且 f==ac? ? 雖有構(gòu)造payload

http://123.206.87.240:8002/web8/?ac=flags&fn=flag.txt

打開后是這個(gè)頁面栅表，還以為是bugku又出問題了笋鄙，經(jīng)過幾次嘗試在 robots.txt里邊發(fā)現(xiàn)了一個(gè)網(wǎng)頁

訪問這個(gè)網(wǎng)頁

顯示嘗試改了幾次本地ip 不行，怪瓶，然后注意到下邊的php代碼 有一個(gè)get方式的傳值

嘗試著將x=admin傳進(jìn)去? 結(jié)果出來了flag

打開網(wǎng)頁是一個(gè)上傳圖片的功能? 創(chuàng)建一個(gè)php小馬上傳萧落，抓包，更改請(qǐng)求頭進(jìn)行繞過

依次嘗試php4洗贰，phtml找岖，phtm，phps哆姻，php5（包括一些字母改變大小寫）

最終發(fā)現(xiàn)宣增，php5可以繞過

請(qǐng)求頭Content-Type字段，大小寫繞過： mULtipart/form-data;

得到flag

sql注入的題目

參考https://www.cnblogs.com/nienie/p/8524519.html? ?

能力有限 后邊就看不太懂了

查看源碼發(fā)現(xiàn)有upload.php 訪問 是一個(gè)上傳文件的網(wǎng)頁

這里是使用了 xss??

創(chuàng)建一個(gè)文本文檔? 將<script language=php>system("ls")</script>寫入保存 更改后綴為jpg? 意思是 顯示出所有文件

上傳 然后訪問上傳的圖片位置

訪問http://123.206.31.85:49166/index.php?file=upload/202001160721001670.jpg

發(fā)現(xiàn)可以文本 直接訪問文本得出flag