靶场首页 打开靶场后，查看源码即可看到<!--source.php--> 打开source.php页面 代码如下 <?php ...

HCTF 2018 Warmup 原题复现：https://gitee.com/xiaohua1998/hctf_2018_warmup 考察知识点:文件包含漏洞(phpmyadmin 4.8.1任意文件包含) 线上平台:https://buuoj.cn（北京联合大学公开的CTF平台） 榆林 ...

php中可以使用strpos函数与mb_strpos函数获取指定的字符串在别一个字符串中首次出现的位置，也可以使用它们判断一串字符串中是否包含别一个字符串. PHP strpos() 函数 查找 "p ...

BUUOJ Web的第一题，其实是很有质量的一道题，但是不知道为什么成了Solved最多的题目，也被师傅们笑称是“劝退题”，这道题的原型应该是来自于phpMyadmin的一个文件包含漏洞（CVE-2018-12613） 解题过程 解题思路 进入题目查看源代码发现提示: 跟进 ...

打开页面看到一个滑稽表情，f12发现提示source.php 进入该页面，发现是代码审计，代码如下： 非空 类型为字符串 能够通过checkFil ...

启动靶机 查看源码发现source.php 代码审计，发现hint.php文件 查看hint.php文件（http://7ab330c8-61 ...

首先爬一遍整个网站，发现有没注册的时候有“login”,"register"，这两个页面，注册一个123用户登录后发现有 "index“,”post“,”logout“，”change passwor ...

知识点 unicode欺骗 session伪造 解法一：unicode欺骗 查看源码发现 应该是要注册成admin用户 先注册一个admin1用户，登录后 ...