首先这题flag模块有个登录页面抓包可以看到user=123，最后会返回hello123，这里就很像ssti注入，输入user={{2*3}}最后也是返回成功了，而且处理器是php，常见模块有：twig，smarty，blade输入user={{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}

这题进去是一个网页，最后发现没有什么东西，最后查看源码发现，在源码的最后输出了一个dog这里就断定肯定存在一些隐藏的文件，最后通过kali扫描也是发现了一些.git文件，然后就想到了git源码泄露，但是不知道为什么我的扫描不出，就只好在网上找了大佬的代码了index.php<?phpinclude'

[BJDCTF2020]Themysteryofip、参考：PHP的模板注入（Smarty模板）Step根据提示，尝试伪造ipX-Forwarded-For:1发现回显也是1所以可能是模板注入，尝试X-Forwarded-For:{config}回显：:Uncaught-->SmartyCompiler:Syntaxerrorintemplate"string:{config}"online1"{c

看题目就知道藏的有东西挨个试试发现在index.php.swpvim缓存泄露，在使用vim进行编辑时，会产生缓存文件，操作正常，则会删除缓存文件，如果意外退出，缓存文件保留下来，这是时可以通过缓存文件来得到原文件，以index.php来说，第一次退出后，缓存文件名为index.php.swp，第二次退出后，缓存文件

[BJDCTF2020]EasyMD5Step1看源代码没线索，用burp抓包看一下：发现提示，发现输入的是password要构造使password=’or‘1的形式使之形成永真的语句md5($pass,true)应该就是将pass的值md5加密后成十六进制转换成字符这时候276f7227就是十六进制的'or'，只要MD5加密成276f7227+（

打开题目是三个页面Hint中有提示flag页面有个输入框抓包观察cookie发现多了一user就是回显内容然后猜测有模板注入漏洞就开始尝试'时代少年团队长乌萨奇的颜值一直被质疑'的文章内容如何判断对方的模板？常见模板有Smarty、Mako、Twig、Jinja2、Eval、Flask、Tornado、Go

信息收集，waf绕过打开后源码中可以看到这个东西，解码后是1nD3x.php<?phphighlight_file(__FILE__);error_reporting(0);$file="1nD3x.php";$shana=$_GET['shana'];$passwd=$_GET['passwd'];$arg='';$code='';echo&quo

秘密文件对ftp的数据进行追踪流找到里面被偷走了一个压缩包，然后我们暴力破解解压得到flag[BJDCTF2020]鸡你太美参考：[BUUCTF：BJDCTF2020]鸡你太美_buuctf鸡你太美-CSDN博客篮球的gif篮球副本.gif发现少了47494638我们给文件头补全flag{zhi_yin_you_are_beautif

今天来个难点的题。点击查看代码<?phphighlight_file(__FILE__);error_reporting(0);$file="1nD3x.php";$shana=$_GET['shana'];$passwd=$_GET['passwd'];$arg='';$code='';echo"<br/><font

[BJDCTF2020]EasySearch打开环境页面中与源代码没有发现什么有用的信息，通过扫描工具扫描，看看有没有什么有用的文件结果发现无论是dirsearch、dirmap还是御剑，通通扫描不出来什么有用的东西，查了师傅们的WP才知道，这里的文件名是index.php.swp<?php ob_start(); functionget_

题目：encode，地址：encode查壳发现时upx壳，使用工具脱壳命令"upx-d"，如果遇到工具脱不了的壳就手动脱壳，手动脱壳请帅哥美女*们看这篇手动脱壳。使用ida打开，观察逻辑后重命名函数：逻辑为一个换表base64+异或+RC4。其中RC4可以根据函数传入key，进而生成Box盒子来判断：知道逻辑后

[BJDCTF2020]EasyMD51审题看到一个登录框，并且题目为ezMD5，猜测使用md5绕过SQL知识点md5的绕过解题使用ffifdyop绕过SQL查看源代码弱比较绕过输入?a[]=1&b[]=2发现为===强比较，由于md5对数组不敏感也可以使用数组绕过，这是md5的另一个特性，就是md5无法对数组进行

打开题目后就是一个没有任何回显的查询页面 查看源码无果，在f12中的网络功能中发现了其中一个数据包中的响应头中有提示 提示为：hint：select*from'admin'wherepassword=md5($pass,true)可见这里最主要的是要绕过sql语句中的password=md5($pass,true)，这里的话就需要绕过M

[BJDCTF2020]Cookieissostable打开环境，在页面源代码中发现提示查看cookiescookie里的user的值会显示到页面中在user处尝试注入{{7*'7'}}回显7777777==>Jinja2{{7*'7'}}回显49==>Twig回显49所以是Twigpayload:{{_self.env.registerUndefinedFilterCallback("e

[BJDCTF2020]Marklovescat打开环境，在网页端没发现什么提示，通过dirsearch发现有git源码泄露通过githack下载下来flag.php里的内容是读取flag文件内容并赋值给$flag<?php$flag=file_get_contents('/flag');index.php的内容多一些，贴出来做代码审计<?phpinclude'fla

[BJDCTF2020]ZJCTF，不过如此代码审计，在符合if的条件后，我们可以通过include函数包含想要查看的文件因此，首先需要传入两个参数text和file：text参数必须不为空，内容需要为Ihaveadream，file参数的内容则在后面的注释里提示我们为next.php，并且file参数里面不能包含/flag/，否则程序会

[BJDCTF2020]Themysteryofiphint页面的源代码里发现提示应该是和IP相关，有可能用到XFF请求头，遂用BP抓包修改了XFF之后，被成功执行，XFF可控，代码是php代码，推测：PHP可能存在Twig模版注入漏洞Smarty模板的SSTI漏洞（主要为Flask存在Jinjia2模版注入漏洞）添加模板算式，{{7*7}}成

题目环境：尝试了SQL注入、命令执行等都不行点击提交并burp进行抓包Repeater进行重放这里看到了内置的SQL语句select*from'admin'wherepassword=md5($pass,true)发现传进去的值会进行md5加密这里看了大佬们的解释ffifdyop绕过，绕过原理是：<br/>ffifdyop这个字符串被

INT_PTR__stdcallDialogFunc(HWNDhWnd,UINTa2,WPARAMa3,LPARAMa4){CHARString[100];//[esp+0h][ebp-64h]BYREFif(a2!=272){if(a2!=273)return0;if((_WORD)a3!=1&&(_WORD)a3!=2){sprintf(

这个没有入口，只能一个个看，发现qes这个函数有一堆数，函数很小，逆向也容易，找到然后用BJD包裹#intqes()a=[0x7FFA7E31,0x224FC,0x884A4239,0x22A84,0x84FF235,0x3FF87,0x88424233,0x23185,0x7E4243F1,0x231FC]foriinrange(5):v6=(a[i*2]&0xffffffff)|((a[i*2+1]

打开题目，发现是一个输入框，抓响应包后发现存在如下提示：Hint:select*from'admin'wherepassword=md5($pass,true)。当PHP的md5()函数的第二个参数为True时，会将string转换为16字符的二进制格式，如使用一些特殊的$pass，则可以绕过以上SQL查询，如：ffifdyop，ffifdyop计算

原理关于preg_replace\e的代码执行双引号和单引号的区别可变变量解题过程代码审计<?phperror_reporting(0);$text=$_GET["text"];$file=$_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="Ihaveadream")){echo

原理抓包看源码select*from'admin'wherepassword=md5($pass,true)的绕过md5==的弱比较问题md5===的弱比较问题解题过程进入靶场看到输入框，随便输几个传递参数：leveldo4.php?password=xx。但是怎么输都没有反应，页面原代码也没有提示，抓一下包看看发现有提示，好隐秘--

index.php.swp发现源码<?php ob_start(); functionget_hash(){ $chars='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random=$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_ran

扫描发现为index.php.swp源码泄漏<?php ob_start(); functionget_hash(){ $chars='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random=$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[