[極客大挑戰 2019]PHP 知識點： 1.網站的備份文件：www.zip 2.Php 反序列化漏洞：當反序列化字符串時，如果表示屬性個數的值大於真實屬性個數，就會跳過_wakeup函數的執行 備份泄露，應該可以用工具掃目錄掃出來，但是不知道為什么用御劍和dirbuster都掃不出來。直接 ...

0x00知識點 1：直接掃描目錄得到網站源碼。 2：public、protected與private在序列化時的區別 3：__wakeup()方法繞過 一個經常被用來出題的函數 (CVE- ...

[極客大挑戰 2019]Secret File 復現 知識點 前端中背景可以覆蓋內容，頁面源代碼可以查看完整的html 在php文件中可以寫入html代碼，html可在前端展示出來，php代碼主要是處理數據，通常不會展示。 文件包含漏洞，PHP偽協議獲取文件 php ...

前言 之前復現了一下極客大挑戰2019的Havefun感覺非常的簡單，應該是我沒有參加極客大挑戰把，對這些題沒啥印象。復現完Havefun之后接着做了做EasySQL發現這也是一道非常基礎的題 復現 初次相遇 我們打開題目鏈接發現是一個充滿黑客色彩的登錄頁面 發現沒有注冊的功能 ...

知識點：PHP序列化與反序列化，最下方有幾個擴展可以看一下 他說備份了，就肯定掃目錄，把源文件備份掃出來 dirsearch掃目錄掃到www.zip壓縮包 然后解壓發現是，序列化。 具體特征如下： index.php包含如下代碼:接收參數，進行序列化 class.php含 ...

查看網頁源碼，發現一個文件secret.php。 secret.php的內容如下： 頁面要求必須從https://www.Sycsecret.com進入，使用python添加headers訪問即可。 結果顯示Please use "Syclover" browser ...

在做題頁面輸入賬號為admin，密碼隨便輸入一個，提示密碼錯誤。此外username和password竟然用get方法傳輸，我很意外，不過倒是方便了測試。 接着更換密碼為'or''='，結果為： ...

題目來源 題目來源為buuoj.cn。 題目為buuoj.cn的web題目組的[極客大挑戰2019]PHP。 解題過程 網站的首頁是一只可愛的貓貓，挪動鼠標貓貓會跟着轉頭，很好玩！ 網頁中提到了備份網站，因此可以嘗試使用一個網站備份文件名的字典來進行爆破，發現網站中有www.zip ...