[极客大挑战 2019]PHP 知识点： 1.网站的备份文件：www.zip 2.Php 反序列化漏洞：当反序列化字符串时，如果表示属性个数的值大于真实属性个数，就会跳过_wakeup函数的执行 备份泄露，应该可以用工具扫目录扫出来，但是不知道为什么用御剑和dirbuster都扫不出来。直接 ...

0x00知识点 1：直接扫描目录得到网站源码。 2：public、protected与private在序列化时的区别 3：__wakeup()方法绕过 一个经常被用来出题的函数 (CVE- ...

[极客大挑战 2019]Secret File 复现 知识点 前端中背景可以覆盖内容，页面源代码可以查看完整的html 在php文件中可以写入html代码，html可在前端展示出来，php代码主要是处理数据，通常不会展示。 文件包含漏洞，PHP伪协议获取文件 php ...

前言 之前复现了一下极客大挑战2019的Havefun感觉非常的简单，应该是我没有参加极客大挑战把，对这些题没啥印象。复现完Havefun之后接着做了做EasySQL发现这也是一道非常基础的题 复现 初次相遇 我们打开题目链接发现是一个充满黑客色彩的登录页面 发现没有注册的功能 ...

知识点：PHP序列化与反序列化，最下方有几个扩展可以看一下 他说备份了，就肯定扫目录，把源文件备份扫出来 dirsearch扫目录扫到www.zip压缩包 然后解压发现是，序列化。 具体特征如下： index.php包含如下代码:接收参数，进行序列化 class.php含 ...

查看网页源码，发现一个文件secret.php。 secret.php的内容如下： 页面要求必须从https://www.Sycsecret.com进入，使用python添加headers访问即可。 结果显示Please use "Syclover" browser ...

在做题页面输入账号为admin，密码随便输入一个，提示密码错误。此外username和password竟然用get方法传输，我很意外，不过倒是方便了测试。 接着更换密码为'or''='，结果为： ...

题目来源 题目来源为buuoj.cn。 题目为buuoj.cn的web题目组的[极客大挑战2019]PHP。 解题过程 网站的首页是一只可爱的猫猫，挪动鼠标猫猫会跟着转头，很好玩！ 网页中提到了备份网站，因此可以尝试使用一个网站备份文件名的字典来进行爆破，发现网站中有www.zip ...