Web2

查看源代碼得到flag

計算器

修改input框maxlength輸入答案即可得到flag

Web基礎(chǔ)$_GET[]

payload: http://120.24.86.145:8002/get/?what=flag

Web基礎(chǔ)$_POST[]

矛盾

從源代碼看到，他對我們輸進(jìn)去的num進(jìn)行了判斷

1、不能全是數(shù)字

2、num==1

這里有弱類型比較，只要我們的num為1+任意字符都可以

payload：http://120.24.86.145:8002/get/index1.php?num=1s

web3

打開網(wǎng)頁看到彈窗，禁止彈窗后我們在源代碼中看到一段html字符實體編碼

解碼得到flag

域名解析

修改hosts文件，訪問flag.bugku.com即可

本地包含

$a=@_REQUEST['hello'];? 可以看到a可控，并且后面會將a打印出來

payload：http://120.24.86.145:8003/?hello=file_get_contents("flag.php")

查看源代碼得到flag

變量1

從源碼中我們可以知道flag在變量中，而在php中一個變量的內(nèi)容是可以成為一個變量名的，比如

而$GLOBALS是一個包含了全部變量的全局組合數(shù)組。

構(gòu)造payload：http://120.24.86.145:8004/index1.php?args=GLOBALS，即可爆出所有變量

Web4

Urldecode得到

eval語句里面的內(nèi)容為

將這一串?dāng)?shù)字輸進(jìn)去就好

flag在index里

點(diǎn)擊click me?no看到url上面多了個file參數(shù)，于是嘗試將index.php讀出來

http://120.24.86.145:8005/post/index.php?file=php://filter/read/convert.base64-encode/resource=index.php

得到一串base64，解碼得到flag

網(wǎng)站被黑

看到題目名字網(wǎng)站被黑，自然就會想到用御劍掃一掃看看有沒有什么東西

得到一個shell.php，訪問看到要我們輸入密碼，于是burp爆破，輸入密碼得到flag

備份是個好習(xí)慣???????

打開看到一串字符串，發(fā)現(xiàn)這串字符串是一段小字符串重復(fù)了兩次得到的，于是取前半部分進(jìn)行md5解密得到

不知道什么意思，又想到題目說備份，一般備份都是.swp , .bak , ~，嘗試了一下，在

http://120.24.86.145:8002/web16/index.php.bak下得到了備份源碼，解讀發(fā)現(xiàn)只要key1和key2的MD5值相等并且key1 key2的值不相等，就可以得到flag，但是在前面字符串處理過程中key被替換成了空且只處理一次，所以考慮雙寫進(jìn)行繞過?

Payload：

http://120.24.86.145:8002/web16/?kkeyey1=QNKCDZO&kkeyey2=s878926199a

秋名山老司機(jī)

打開網(wǎng)頁看到

多刷新幾次就會看到

那就很明顯是說讓我們把之前式子算出的值post過去，于是上腳本得到flag

速度要快

訪問網(wǎng)址他說“我感覺你要再快點(diǎn)?。。　?，于是burp抓包發(fā)現(xiàn)響應(yīng)頭中有一串flag，并且說將你找到的margin值post過去

到這里就知道我們需要將我們找到的這一串flag最后base64解碼的數(shù)字傳過去，上腳本

Cookie欺騙

打開鏈接看到一串不知道有什么用的字母，并且url上多了兩個參數(shù)，line和filename，將filename? base64解密得到keys.txt,嘗試將其替換成index.php，看到空白，于是嘗試給line傳入?yún)?shù)1，發(fā)現(xiàn)出現(xiàn)了一行代碼，多嘗試幾個發(fā)現(xiàn)其參數(shù)的意義就是輸入幾就返回第幾行的代碼，于是用腳本提取index.php的代碼

index.php

解讀源碼發(fā)現(xiàn)除了存在keys.txt和index.php外，還存在keys.php，并且如果存在cookie margin=margin時，就可以讀取keys.php的內(nèi)容，于是抓包修改得到flag

Never give up

修改id沒有發(fā)現(xiàn)東西，于是查看源代碼，發(fā)現(xiàn)1p.html，于是嘗試訪問，發(fā)現(xiàn)直接跳轉(zhuǎn)到了http://www.bugku.com/，既然有跳轉(zhuǎn)，那我們就嘗試一下讀取源碼

view-source:120.24.86.145:8006/test/1p.html

url解碼，base64解碼，再url解碼得到

看了一下代碼，需要傳入id，a，b，如果a中包含.就會返回no no no no no no no，否則就將a文件的內(nèi)容讀取到data中，如果a文件中包含"bugku is a nice plateform!”，并且id=0，b的長度大于5，1114中是否符合"111".substr($b,0,1)，而substr($b,0,1)!=4，才會請求f4l2a3g.txt，一開始還想要怎么通過傳參來讓他請求f4l2a3g.txt，后來轉(zhuǎn)念一想直接訪問不就好了嗎

payload：http://120.24.86.145:8006/test/f4l2a3g.txt