打开输入字符后提交没有回显，查看header发现有hint。重点是md5函数，用法：md5(*string*,*raw*=FALSE)，当只接受一个参数时会返回字符串的md5值，当把第二个参数的值设置为TRUE，会返回生成md5值的二进制格式，即根据ascii码值转码。根据这个特性，就存在一个漏洞，如果password=md5($pass,tr

题目链接：[BJDCTF2020]ZJCTF，不过如此。打开环境，如下所示。一个简单的伪协议，直接使用Data伪协议即可通过检测，随后使用文件包含来查看next.php文件源码。Payload：?text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=&file=php://filter/read=convert.base64-encode/resource

题目链接：https://buuoj.cn/challenges#[BJDCTF2020]EasyMD5打开环境后如下所示。响应包如下。HTTP/1.1200OKServer:openrestyDate:Fri,25Oct202415:20:01GMTContent-Type:text/html;charset=UTF-8Connection:keep-aliveVary:Accept-EncodingX-Powered-By:

打开靶机，根据题目提示找到如下页面抓包，尝试修改ip发现回显改变第一印象以为是xss漏洞，控制回显点，alert弹框也能正常触发却不知道接下来该怎么进行下去查阅资料发现此处是ssti模板漏洞，也就是说此处ip值作为一个变量会被执行并回显所以尝试{system("ls/")}发现目标获取flag{s

打开题目就是源码看到使用file_get_contents()函数打开text，看到file就想到了文件包含，但是本题使用file://协议并不行，里边有个封装的text文件，需要使用data://协议php5.2.0起，数据流封装器开始有效，主要用于数据流的读取，如果传入的数据是PHP代码就会执行代码。使用方法为：data:

（PHP的Twig模版注入漏洞，Smarty模板的SSTI漏洞）打开题目目录扫描，扫出来DS_Store、flag.php、header.php，访问flag.php访问header.php，flag就是上面那个点击hint在flag.php中有IP，题目翻译过来就是ip的奥秘，推测有x-forword-for注入，抓一下包修改请求头，添加一个X-Forwarded-

首先这题flag模块有个登录页面抓包可以看到user=123，最后会返回hello123，这里就很像ssti注入，输入user={{2*3}}最后也是返回成功了，而且处理器是php，常见模块有：twig，smarty，blade输入user={{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}

这题进去是一个网页，最后发现没有什么东西，最后查看源码发现，在源码的最后输出了一个dog这里就断定肯定存在一些隐藏的文件，最后通过kali扫描也是发现了一些.git文件，然后就想到了git源码泄露，但是不知道为什么我的扫描不出，就只好在网上找了大佬的代码了index.php<?phpinclude'

[BJDCTF2020]Themysteryofip、参考：PHP的模板注入（Smarty模板）Step根据提示，尝试伪造ipX-Forwarded-For:1发现回显也是1所以可能是模板注入，尝试X-Forwarded-For:{config}回显：:Uncaught-->SmartyCompiler:Syntaxerrorintemplate"string:{config}"online1"{c

看题目就知道藏的有东西挨个试试发现在index.php.swpvim缓存泄露，在使用vim进行编辑时，会产生缓存文件，操作正常，则会删除缓存文件，如果意外退出，缓存文件保留下来，这是时可以通过缓存文件来得到原文件，以index.php来说，第一次退出后，缓存文件名为index.php.swp，第二次退出后，缓存文件

[BJDCTF2020]EasyMD5Step1看源代码没线索，用burp抓包看一下：发现提示，发现输入的是password要构造使password=’or‘1的形式使之形成永真的语句md5($pass,true)应该就是将pass的值md5加密后成十六进制转换成字符这时候276f7227就是十六进制的'or'，只要MD5加密成276f7227+（

打开题目是三个页面Hint中有提示flag页面有个输入框抓包观察cookie发现多了一user就是回显内容然后猜测有模板注入漏洞就开始尝试'时代少年团队长乌萨奇的颜值一直被质疑'的文章内容如何判断对方的模板？常见模板有Smarty、Mako、Twig、Jinja2、Eval、Flask、Tornado、Go

信息收集，waf绕过打开后源码中可以看到这个东西，解码后是1nD3x.php<?phphighlight_file(__FILE__);error_reporting(0);$file="1nD3x.php";$shana=$_GET['shana'];$passwd=$_GET['passwd'];$arg='';$code='';echo&quo

秘密文件对ftp的数据进行追踪流找到里面被偷走了一个压缩包，然后我们暴力破解解压得到flag[BJDCTF2020]鸡你太美参考：[BUUCTF：BJDCTF2020]鸡你太美_buuctf鸡你太美-CSDN博客篮球的gif篮球副本.gif发现少了47494638我们给文件头补全flag{zhi_yin_you_are_beautif

今天来个难点的题。点击查看代码<?phphighlight_file(__FILE__);error_reporting(0);$file="1nD3x.php";$shana=$_GET['shana'];$passwd=$_GET['passwd'];$arg='';$code='';echo"<br/><font

[BJDCTF2020]EasySearch打开环境页面中与源代码没有发现什么有用的信息，通过扫描工具扫描，看看有没有什么有用的文件结果发现无论是dirsearch、dirmap还是御剑，通通扫描不出来什么有用的东西，查了师傅们的WP才知道，这里的文件名是index.php.swp<?php ob_start(); functionget_

题目：encode，地址：encode查壳发现时upx壳，使用工具脱壳命令"upx-d"，如果遇到工具脱不了的壳就手动脱壳，手动脱壳请帅哥美女*们看这篇手动脱壳。使用ida打开，观察逻辑后重命名函数：逻辑为一个换表base64+异或+RC4。其中RC4可以根据函数传入key，进而生成Box盒子来判断：知道逻辑后

[BJDCTF2020]EasyMD51审题看到一个登录框，并且题目为ezMD5，猜测使用md5绕过SQL知识点md5的绕过解题使用ffifdyop绕过SQL查看源代码弱比较绕过输入?a[]=1&b[]=2发现为===强比较，由于md5对数组不敏感也可以使用数组绕过，这是md5的另一个特性，就是md5无法对数组进行

打开题目后就是一个没有任何回显的查询页面 查看源码无果，在f12中的网络功能中发现了其中一个数据包中的响应头中有提示 提示为：hint：select*from'admin'wherepassword=md5($pass,true)可见这里最主要的是要绕过sql语句中的password=md5($pass,true)，这里的话就需要绕过M

[BJDCTF2020]Cookieissostable打开环境，在页面源代码中发现提示查看cookiescookie里的user的值会显示到页面中在user处尝试注入{{7*'7'}}回显7777777==>Jinja2{{7*'7'}}回显49==>Twig回显49所以是Twigpayload:{{_self.env.registerUndefinedFilterCallback("e

[BJDCTF2020]Marklovescat打开环境，在网页端没发现什么提示，通过dirsearch发现有git源码泄露通过githack下载下来flag.php里的内容是读取flag文件内容并赋值给$flag<?php$flag=file_get_contents('/flag');index.php的内容多一些，贴出来做代码审计<?phpinclude'fla

[BJDCTF2020]ZJCTF，不过如此代码审计，在符合if的条件后，我们可以通过include函数包含想要查看的文件因此，首先需要传入两个参数text和file：text参数必须不为空，内容需要为Ihaveadream，file参数的内容则在后面的注释里提示我们为next.php，并且file参数里面不能包含/flag/，否则程序会

[BJDCTF2020]Themysteryofiphint页面的源代码里发现提示应该是和IP相关，有可能用到XFF请求头，遂用BP抓包修改了XFF之后，被成功执行，XFF可控，代码是php代码，推测：PHP可能存在Twig模版注入漏洞Smarty模板的SSTI漏洞（主要为Flask存在Jinjia2模版注入漏洞）添加模板算式，{{7*7}}成

题目环境：尝试了SQL注入、命令执行等都不行点击提交并burp进行抓包Repeater进行重放这里看到了内置的SQL语句select*from'admin'wherepassword=md5($pass,true)发现传进去的值会进行md5加密这里看了大佬们的解释ffifdyop绕过，绕过原理是：<br/>ffifdyop这个字符串被

INT_PTR__stdcallDialogFunc(HWNDhWnd,UINTa2,WPARAMa3,LPARAMa4){CHARString[100];//[esp+0h][ebp-64h]BYREFif(a2!=272){if(a2!=273)return0;if((_WORD)a3!=1&&(_WORD)a3!=2){sprintf(