靶場首頁 打開靶場后，查看源碼即可看到<!--source.php--> 打開source.php頁面 代碼如下 <?php ...

HCTF 2018 Warmup 原題復現：https://gitee.com/xiaohua1998/hctf_2018_warmup 考察知識點:文件包含漏洞(phpmyadmin 4.8.1任意文件包含) 線上平台:https://buuoj.cn（北京聯合大學公開的CTF平台） 榆林 ...

php中可以使用strpos函數與mb_strpos函數獲取指定的字符串在別一個字符串中首次出現的位置，也可以使用它們判斷一串字符串中是否包含別一個字符串. PHP strpos() 函數 查找 "p ...

BUUOJ Web的第一題，其實是很有質量的一道題，但是不知道為什么成了Solved最多的題目，也被師傅們笑稱是“勸退題”，這道題的原型應該是來自於phpMyadmin的一個文件包含漏洞（CVE-2018-12613） 解題過程 解題思路 進入題目查看源代碼發現提示: 跟進 ...

打開頁面看到一個滑稽表情，f12發現提示source.php 進入該頁面，發現是代碼審計，代碼如下： 非空 類型為字符串 能夠通過checkFil ...

啟動靶機 查看源碼發現source.php 代碼審計，發現hint.php文件 查看hint.php文件（http://7ab330c8-61 ...

首先爬一遍整個網站，發現有沒注冊的時候有“login”,"register"，這兩個頁面，注冊一個123用戶登錄后發現有 "index“,”post“,”logout“，”change passwor ...

知識點 unicode欺騙 session偽造 解法一：unicode欺騙 查看源碼發現 應該是要注冊成admin用戶 先注冊一個admin1用戶，登錄后 ...