web373 <?php error_reporting(0); //不禁止外部实体载入 libxml_disable_entity_loader(false); //拿POST原始数据，赋值给xmlfile $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){ /…

web316 反射型xss 测一下xss <script>alert(1)</script> 法1：网上找一个xss平台去生成payload去拿cookie 法2：自己搭一个xss平台，生成payload去拿cookie 法3：在vps上放一个接受cookie的php，然后起http服务，让bot去访问 <?php $…

前置知识 __sleep() //执行serialize()时，先会调用这个函数 __wakeup() //将在反序列化之后立即调用（当反序列化时变量个数与实际不符时绕过） __construct() //当对象被创建时，会触发进行初始化 __destruct() //对象被销毁时触发 __toString()： //当一个对象被当作字符串使用时触…

前言 在这个专题的刷题过程中，主要参考了ctfshow题目所带的wp以及以下师傅的wp，以下是他们的link b477eRy师傅：CTFSHOW WEB入门 SQL注入篇 - b477eRy - 博客园 My6n师傅：https://myon6.blog.csdn.net web201 使用--user-agent 指定agent 使用--refe…

前言 在这个专题的刷题过程中，主要参考了ctfshow题目所带的wp以及以下师傅的wp，以下是他们的link b477eRy师傅：CTFSHOW WEB入门 SQL注入篇 - b477eRy - 博客园 My6n师傅：https://myon6.blog.csdn.net web171 查询语句 //拼接sql语句查找指定ID用户 $sql = "…

web151 前台校验不可靠 上个改后缀的🐎(.png)，抓包改php即可上🐎成功 web152 后端校验要严密 同上题，应该是MIME校验吧，注意Content-Type: image/png就行，如果一开始就上的是图片🐎，就不需要改这个了 web153 后端校验要严密 这里改php后缀不好使了，考虑上传.user.ini文件来包含图片🐎 我的.…

web89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if…

web78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 伪协议读取即可 另外提一嘴，hackerbar自带的LFI功能已经预带了一个filter伪协议，可以一键…

web118 hint：<!-- system($code);--> 尝试了一下，如果被waf了会显示evil input，那就fuzz一下，发现只有小写字母和部分符号没被过滤 考虑用bash的内置变量来构造命令，问号没有被ban，可以用通配符来匹配读取的文件，如????.???->flag.php bash内置命令： https…

web29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } ?c=system("ls…