web~~~~~sqlweb
先用御剑扫一波,得到sql.php,访问
image.png
然后用这个账号密码登陆得到
image.png
试用admin/admin123登陆,得到
image.png
猜测此题为得到wuyanzu账号的密码登陆获得flag。
uname=wuyanzu'/**/%26%26/**/mid(passwd/**/from/**/{1}/**/for/**/1)/**/in/**/('{1}')/**/limit/**/1%23&passwd=asdf&submit=login
image.png
最终爆破出来的密码即为flag
flag{22acfb93-4b2f-4171-95d2-987e04216506}
web~~~~~~~calc
页面为一个计算器,猜测试ssti
参考:禁用import的情况下绕过python沙箱 image.png
web~~~~~~~~wafload
<?php
$sandbox = '/var/www/html/upload/' . md5("phpIsBest" . $_SERVER['REMOTE_ADDR']);
@mkdir($sandbox);
@chdir($sandbox);
if (!empty($_FILES['file'])) {
#mime check
if (!in_array($_FILES['file']['type'], ['image/jpeg', 'image/png', 'image/gif'])) {
die('This type is not allowed!');
}
#check filename
$file = empty($_POST['filename']) ? $_FILES['file']['name'] : $_POST['filename'];
if (!is_array($file)) {
$file = explode('.', strtolower($file));
}
$ext = end($file);
if (!in_array($ext, ['jpg', 'png', 'gif'])) {
die('This file is not allowed!');
}
$filename = reset($file) . '.' . $file[count($file) - 1];
if (move_uploaded_file($_FILES['file']['tmp_name'], $sandbox . '/' . $filename)) {
echo 'Success!';
echo 'filepath:' . $sandbox . '/' . $filename;
} else {
echo 'Failed!';
}
}
show_source(__file__);
?>
这里只能通过数组绕过,先查一下end函数
image.png发现一个惊奇的东西,刚好可以绕过后缀名的检查
image.png
image.png
然后用菜刀连
image.png
网友评论