1、http://395115b6e98f1b6b21ee56eb5ef89614.synctf.com:8002/basic/base09/ 直接看到代码 可知道这个是文件包含?file=flag.txt 所以直接构造?file=flag.php 得到一段代码 可知这是一段加密代码,解密的话要用到decrypt,密钥有,相关要解密内容也有,直接写一段新的解密代码 编译得结果flag
2、http://395115b6e98f1b6b21ee56eb5ef89614.synctf.com:8002/basic/base10/ 就是来源是yandex,那么抓包改包 加入Referer:https://Yandex.com伪造来源,得到flag 3、http://395115b6e98f1b6b21ee56eb5ef89614.synctf.com:8002/phpvul/phpvul01/ 查看源代码 Vim备份直接就采取index.php~进入备份看到代码 这题是erxtract绕过,直接构造参数 ?fliename=&a= 得到flag 4、http://395115b6e98f1b6b21ee56eb5ef89614.synctf.com:8002/phpvul/phpvul02/index.php 代码 这是cookie的参数,post防空,抓包将cookies也改成空。 5、http://395115b6e98f1b6b21ee56eb5ef89614.synctf.com:8002/phpvul/phpvul03/index.php 打开index.php.txt 看到代码 利用php函数ereg与strpos绕过 可以得到直接用数据报错?num[]=1来实现,接下来就是抓包,然后改包
6、http://395115b6e98f1b6b21ee56eb5ef89614.synctf.com:8002/phpvul/phpvul04/ 点开即可见代码 发现直接把255转成十六进制就可以了 构造 ?1=0xff 输入 7、http://395115b6e98f1b6b21ee56eb5ef89614.synctf.com:8002/phpvul/phpvul05 直接有代码 得出输入的times的参数在5184000~7776000之间,但sleep导致读数得读一天,因此挑选一个区间内数字然后转换成十六进制就可 7e6 8、http://395115b6e98f1b6b21ee56eb5ef89614.synctf.com:8002/phpvul/phpvul06/ 此题的代码 重点在如果变量shiyan和变量content的值相同,就会输出flag 所以构造 ?shiyan=&content 就可以出来 利用extract() 的漏洞,直接构造?file=21&shiyan=就可以 9、http://395115b6e98f1b6b21ee56eb5ef89614.synctf.com:8002/phpvul/phpvul07/ 可知要输出flag要满足三个条件 1、 password传参必须要有数字和字母 2、 长度小于8但是数字大于9999999 3、 Password里存在着*-* 满足1、2条件,用科学计数法,构造password=3e10 满足3条件,构造数组 password[]=3e10
10、http://395115b6e98f1b6b21ee56eb5ef89614.synctf.com:8002/phpvul/phpvul09/
这题是文件包含绕弯比较多的 由题可知是文件包含 1.?file=flag.php 出界面了,但界面没东西,说明方向是对的 2. ?file=php://filter/resource=flag.php,说明要解码 3. ?file=php://filter/read=convert.base64-encode/resource=flag.php 解码成功,出现 Base64加密,解密即可得 11、http://395115b6e98f1b6b21ee56eb5ef89614.synctf.com:8002/phpvul/phpvul10/ 重点vim,那就构造index.php~ 得到代码 即两个数的值不同,但MD5加密值相同 构造函数password=s878926199a 即md5(password)=0E 成功
