Bugku web wp(1)

Web2

查看源代码得到flag

计算器

修改input框maxlength输入答案即可得到flag

Web基础$_GET[]

payload: http://120.24.86.145:8002/get/?what=flag

Web基础$_POST[]

矛盾

从源代码看到，他对我们输进去的num进行了判断

1、不能全是数字

2、num==1

这里有弱类型比较，只要我们的num为1+任意字符都可以

payload：http://120.24.86.145:8002/get/index1.php?num=1s

web3

打开网页看到弹窗，禁止弹窗后我们在源代码中看到一段html字符实体编码

解码得到flag

域名解析

修改hosts文件，访问flag.bugku.com即可

本地包含

$a=@_REQUEST['hello'];  可以看到a可控，并且后面会将a打印出来

payload：http://120.24.86.145:8003/?hello=file_get_contents("flag.php")

查看源代码得到flag

变量1

从源码中我们可以知道flag在变量中，而在php中一个变量的内容是可以成为一个变量名的，比如

而$GLOBALS是一个包含了全部变量的全局组合数组。

构造payload：http://120.24.86.145:8004/index1.php?args=GLOBALS，即可爆出所有变量

Web4

Urldecode得到

eval语句里面的内容为

将这一串数字输进去就好

flag在index里

点击click me?no看到url上面多了个file参数，于是尝试将index.php读出来

http://120.24.86.145:8005/post/index.php?file=php://filter/read/convert.base64-encode/resource=index.php

得到一串base64，解码得到flag

网站被黑

看到题目名字网站被黑，自然就会想到用御剑扫一扫看看有没有什么东西

得到一个shell.php，访问看到要我们输入密码，于是burp爆破，输入密码得到flag

备份是个好习惯       

打开看到一串字符串，发现这串字符串是一段小字符串重复了两次得到的，于是取前半部分进行md5解密得到

不知道什么意思，又想到题目说备份，一般备份都是.swp , .bak , ~，尝试了一下，在

http://120.24.86.145:8002/web16/index.php.bak下得到了备份源码，解读发现只要key1和key2的MD5值相等并且key1 key2的值不相等，就可以得到flag，但是在前面字符串处理过程中key被替换成了空且只处理一次，所以考虑双写进行绕过 

Payload：

http://120.24.86.145:8002/web16/?kkeyey1=QNKCDZO&kkeyey2=s878926199a

秋名山老司机

打开网页看到

多刷新几次就会看到

那就很明显是说让我们把之前式子算出的值post过去，于是上脚本得到flag

速度要快

访问网址他说“我感觉你要再快点！！！”，于是burp抓包发现响应头中有一串flag，并且说将你找到的margin值post过去

到这里就知道我们需要将我们找到的这一串flag最后base64解码的数字传过去，上脚本

Cookie欺骗

打开链接看到一串不知道有什么用的字母，并且url上多了两个参数，line和filename，将filename  base64解密得到keys.txt,尝试将其替换成index.php，看到空白，于是尝试给line传入参数1，发现出现了一行代码，多尝试几个发现其参数的意义就是输入几就返回第几行的代码，于是用脚本提取index.php的代码

index.php

解读源码发现除了存在keys.txt和index.php外，还存在keys.php，并且如果存在cookie margin=margin时，就可以读取keys.php的内容，于是抓包修改得到flag

Never give up

修改id没有发现东西，于是查看源代码，发现1p.html，于是尝试访问，发现直接跳转到了http://www.bugku.com/，既然有跳转，那我们就尝试一下读取源码

view-source:120.24.86.145:8006/test/1p.html

url解码，base64解码，再url解码得到

看了一下代码，需要传入id，a，b，如果a中包含.就会返回no no no no no no no，否则就将a文件的内容读取到data中，如果a文件中包含"bugku is a nice plateform!”，并且id=0，b的长度大于5，1114中是否符合"111".substr($b,0,1)，而substr($b,0,1)!=4，才会请求f4l2a3g.txt，一开始还想要怎么通过传参来让他请求f4l2a3g.txt，后来转念一想直接访问不就好了吗

payload：http://120.24.86.145:8006/test/f4l2a3g.txt