天下武功唯快不破

考察使用脚本自动读取响应头、进行BASE64解码

提示“看看响应头”，那就看一下响应头。

发现一个BASE64编码的字符串：

看了一眼网页源代码，发现一条注释：

每次刷新页面这个值都会变，根本就不够手动提交的，只能写脚本了。

本人极度不熟悉Python，所以只好找了别人的脚本，等以后把Python学好了再自己写一遍：

import requests
import base64
r = requests.post('http://ctf5.shiyanbar.com/web/10/10.php')
key = r.headers['FLAG']
flag = base64.b64decode(key).decode().split(':')[1]
para = {'key':flag}
r = requests.post('http://ctf5.shiyanbar.com/web/10/10.php',data = para)
print(r.text)

执行一下就得到flag。

拐弯抹角

考察PHP代码审计，其实也就是一些常用的绕过姿势

其实这道题的主要目的还是教学，真正需要绕过的地方很简单，只有两处：

payload:http://ctf5.shiyanbar.com/indirection/index.php/index.php

成功拿到flag。

天网管理系统

考察PHP弱类型绕过md5()函数、PHP布尔类型序列化数组绕过

打开链接，什么都没发现，于是看网页源代码，在注释里发现了一些信息：

把用户名改成QNKCDZO，提交，出现了一条提示信息：

访问一下这个链接：

又发现了一段PHP代码：

一开始没明白，后来翻了翻网上的资料，才知道这里应该怎么做：

https://www.cnblogs.com/ssooking/p/5877086.html
代码意思是把post提交的password值经过"反序列化"得到一个数组，要求数组里的user和pass都等于某个值时就打印flag。
但是我们不知道两处???到底是什么，因此无法考虑用php函数构造这样的值。
别忘了还有一个提示： "伟大的科学家php方言道：成也布尔，败也布尔" ，bool类型的true跟任意字符串可以弱类型相等。因此我们可以构造bool类型的序列化数据，无论比较的值是什么，结果都为true。（a代表array，s代表string，b代表bool，而数字代表个数/长度）
构造password值为： a:2:{s:4:"user";b:1;s:4:"pass";b:1;}

将这个值提交到password得到flag。