论剑场部分web题的writeup

论剑场部分web题的writeup

论剑场
web1
变量覆盖漏洞—extract()函数
extract()函数使用数组键名作为变量名，使用数组键值作为变量值。但是当变量中有同名的元素时，该函数默认将原有的值给覆盖掉。这就造成了变量覆盖漏洞。
file_get_contents()函数是将文件读入一个字符串中，但是b是一个字符串，所以读出来应该是空，if条件判断a不能是空，所以用php://input来绕过file_get_contents()函数，
payload：http://123.206.31.85:10001/?a=aaa&b=php://input
抓包，在请求主体下加aaa。

web9
提示：put me a message bugku
Bp抓包，改包的一串base64编码，解码的flag

流量分析
没有wireshark……

web2

web6
猜一下用户名admin 密码123456访问，提示ip禁止访问，请联系本地管理员登录；bp抓包改请求头X-Forwarded-For: 127.0.0.1；访问，抓包，看到最后有一段被注释的base64编码，在线解码得test123，猜是密码，用户名admin，访问得flag

web11
看到提示robots，访问robots.txt;看到shell.php，访问shell.php;看到要求某个值得md5值前六位为427da4，写个python脚本

得到结果为87149，提交查询得flag

web13
随便输入提交查询，没用；bp抓包，看到响应头里有个passward字段，是base64编码，在线解码得flag

但是提交flag发现不对，把flag{}去掉后提交到输入框中得到：Can you do it faster,让我们快一点，那就用python写个脚本提交

得到flag

web25
什么题目…我的dirsearch实在太慢了，告辞
web3
打开还以为是文件上传漏洞，一句话木马都写好了，怎么绕过都上传不了，看人家的writeup，说是文件包含漏洞，why！！！Payload：php://filter/read=convert.base64-encode/resource=flag

Web21
F12看源码，file_get_contents函数绕过，include（$file）提示class.php，php伪协议读class.php

Base64解码得