目录

A Dark Room

Aura 酱的礼物

HTTP 是什么呀

md5绕过欸

喵喵喵´•ﻌ•`

---

A Dark Room

打开环境

先查看源码，拉到最后看到flag

Aura 酱的礼物

第一层看见file_get_contents()函数，想到文件包含，可以用伪协议，一般是php://input，但是这里是post传参，就用data://，是一样的，当它与文件包含函数结合时，用户输入的 data:// 流就会被当作 php 文件执行

第二层要求不能等于 0 ，也就是说在传入的 $challenge 里需要到 'http://jasmineaura.github.io'，并且位置是开头，才会是返回的 0，直接传就可以了

补充：

strpos() 函数用于查找字符串在另一字符串中第一次出现的位置，其返回值是字符串在另一字符串中第一次出现的位置，注意字符串位置是从 0 开始的，如果没有找到字符串则返回 FALSE。

第三层读取 $challenge 这个文件，准确来说这里的 $challenge 是一个文件的路径，然后将读到的内容存入字符串 $blog_content 里，再次使用 strpos 函数查找，要求在内容里能找到 '已经收到Kengwang的礼物啦'，因为如果找不到就会返回 false。前面要求 $challenge 的开头必须是 'http://jasmineaura.github.io'，data:// 协议不能用了，看了别人的wp发现是一个ssrf漏洞，可以通过@绕过

补充：

file_get_contents() 函数是用于将文件的内容读入到一个字符串中的首选方法

第四层是 include 文件包含，直接伪协议就好了，用 php://filter 读文件源码

回显的这一串是base64加密后的flag

解码后得到flag

HTTP 是什么呀

打开看到应该是要通过一步步传参得到flag

第一步是get传参，上传后发现这里有个%00被当作url编码转成空了，所以需要将%00进行url编码

可以用bp的编码工具

接下来是第二步post传参

然后是cookie

UA

Referer

最后是IP，可以抓包，通过XFF伪造地址

发包后看到下面这个界面

查看源码什么都没发现，重新抓包，放到重放器中

可以看到回显中有一串base64的编码

解码后得到flag

md5绕过欸

打开可以看到有两个md5绕过，一个是get传参，一个是post传参；get传参那个是弱比较，post传参那个是强比较

都可以通过数组绕过，直接得到flag

喵喵喵´•ﻌ•`

打开题目看到报错关闭，需要get传参

并且题目提示需要执行系统命令，所以直接用system查看目录

当前目录下文件有这些，没看见flag，直接查看根目录

发现flag，用cat命令查看

得到flag