NSSCTF Round#28 WEB题解-先知社区

WEB

ez_ssrf

分析代码，我们可以发现，只是简单过滤了两个地址

我们这里可以用127.0.0.2或者0.0.0.0来进行绕过

所以payload,如下：

成功得到flag

ez_php

这里我们可以发现前面就是一个简单MD5绕过：

然后是password由于是!=弱比较，直接令

即可。

这里由于没有对file参数进行过滤，导致我们能直接非预期读出flag。

payload如下：

即可得到flag

但是按照题目逻辑，我们看看level2.php考了什么

这里直接是考了rce，但是把常见字符都过滤了了，只剩下数字和$等符号，这里采用自增进行rce

首先, 在PHP中，如果强制连接数组和字符串的话，数组将被转换成字符串，其值为Array

所以payload:

将其url编码

payload:

这样即可

Coding Loving

分析代码可以得到，在路由/test中，我们传入的cmd命令才会被渲染，当然会存在一个问题，就是必须要携带session。

这里直接用fenjing即可

成功执行代码