buuctf wp后面持续更新

[护网杯 2018]easy_tornado 1
有三个文件，
提示了flag在/fllllllllllllag中
试了一下包含
发现报错
联系render函数
在结合hint.txt
写Python脚本

构造语句?filename=/fllllllllllllag&filehash=e117303e546b420c9c05646df94315b5

[极客大挑战 2019]Secret File

审查源码之后发现有一个php
抓包，有一个secr3t.php
打开之后
是一个文件包含，且过滤了…/, tp，input， data，
构造file=php://filter/convert.base64-encode/resource=flag.php
在base64解码。
[极客大挑战 2019]LoveSQL

在username输入1‘的时候会报password地方的错误
可以猜测是在password存在注入
然后抓包，由于是get的，所以将get改成post然后使用sqlmap跑
库

表

字段
值

[RoarCTF 2019]Easy Calc
打开是一个计算器，习惯性审查源码，
发现有一个calc.php
打开之后就可以可以看到waf的规则

然后来绕过这个waf，由于是php解析的，而且此waf只是过滤了num关键字，然后就可以进行构造了。在php解析漏洞中，？num=与？ num=可以被解析成一样，所以构造payload
遍历根目录
？ num=1;var_dump(scandir(chr(47)))
calc.php? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
[CISCN2019 华北赛区 Day2 Web1]Hack World

输入1，2正常，其他就报错了，还过滤了很多关键字
后来看了源码知道过滤了如下关键字
猜测可能是bool注入
根据提示flag在字段flag里面，然后构造语句，由于过滤了空格和*，使用（）来构造
payload: (ascii(substr((select(flag)from(flag)),1,1))>97)
为了省时间写一个python脚本跑

[极客大挑战 2019]PHP
1

看界面发现有网站备份有一个备份
然后下载之后发现

有一个flag.php,但是没有提交之后发现不对，所以查看index.php之后

定义一个class.php，然后对传入参数进行反序列化
在查看class.php
直接写出反序列化代码

由于是private，所以用%00替代空格，测试了一下子之后，发现不行，搜了资料之后可能存在wake_up函数，
所以构造payload：?select=O:4:“Name”:4:{s:14:"%00Name%00username";s:5:“admin”;s:14:"%00Name%00password";i:100;}

[极客大挑战 2019]Knife 1
打开之后看提示，在看到eval这句是一句话木马
使用蚁剑打开

使用find -name flag发现一个隐藏文件，使用cat打开得到flag