[GXYCTF2019]Ping Ping Ping 命令注入+變量拼接

看到了ip再來結合題目，得知是要ping了。這里我們可以運用命令鏈接符，進行命令的執行，漏洞的起因還是沒將用戶的輸入進行過濾就進行了拼接，所以才會有這樣的情況； 我們嵌入/?ip=127.0.0.1 ...

網鼎2020朱雀組 PHP_web+NMAP

前言 　　沒錯，我就是懶狗。。。題目在CTFHUB上有復現 PHP_WEB 反序列化+函數構造+偽協議讀取 　　打開頁面，發現什么都有，抓包看一下 　　發現有func和p參數，而且參數配合 ...

[HCTF 2018]WarmUp PHP審計+任意文件讀取

打開頁面看到一個滑稽表情，f12發現提示source.php 進入該頁面，發現是代碼審計，代碼如下： 非空 類型為字符串 能夠通過checkFil ...