实验吧_WEB题解（一）

貌似有点难

打开发现就是php代码审计，其中重点就是 if ($GetIPs==”1.1.1.1”) 就显示flag

这就是伪造ip了，用burp

---

猫抓老鼠

打开之后让你输入key，随便 输入发现check failed!

再看题目catch！catch！catch！应该就是要抓包的意思了
发现了一个base64自然就去解密了，得到1527259772，然后提交并不对

之后尝试 pass_key=MTUyOTU4NTUwMw==，得到key

---

这个看起来有点简单!

这个打开一看就大概知道是道注入的题，尝试改id可以发现字段数是2

之后爆数据库，得到三个数据库，之后尝试爆各个表可以发现my_db是我们需要的数据库

爆my_db数据库中的表，发现thiskey

爆表中的数据，发现k0y这个列

查看k0y中的内容，得到flag

---

PHP大法

通过提示打开php.txt，发现一段php代码

eregi()
功能：字符串比对解析，与大小写无关。 
语法：int eregi(string pattern, string string, array [regs]); 
返回值：整数/数组

首先比较id是否等于hackerDJ，等于就输出”not allowed!”，之后url解码id，如果id等于hackerDJ，得到flag.
所以要得到flag，要先url编码hackerDJ，因为浏览器提交时会自动解码一次，所以要再url编码一次：h –> %68 –> %2568

构造url: index.php?id=%2568ackerDJ，得到flag

---

what a fuck!这是什么鬼东西?

打开后会发现一整页不知道是什么的东西，其实这是一种特殊的js代码，源于一门编程语言brainfuck
打开http://www.jsfuck.com/网站，把代码粘贴在框里，运行即可得到flag