2401_86646880的博客

输入?}}即可得到flag。

…

在技术栈里，“上游”（upstream）就是 Nginx、CDN、负载均衡器、API 网关这类“前台”背后，真正生成内容的那一组服务器。网关/反向代理（Nginx、CDN、ELB）自己工作正常，但从上游（后端、PHP-FPM、Tomcat）拿到无效或过早断开的响应，于是报 502。场景：HTTP 只负责握个手，真正想“打电话”得换成 WebSocket、HTTP/2、QUIC 等“长连接”协议。场景：客户端准备在 POST/PUT 里扔几百 KB 甚至几十 MB 的表单或文件，怕一发过去就被拒，浪费流量。

打开题目没有发现什么线索也没什么提示所以直接扫描目录先一个一个试试进入www.zip后会给一个文件解压由题知道flag在根目录但下载文件中没见flag所以打开每个文件最后在index.php中找到说明可以进行目录查找。

用dirsearch扫描发现有/flag.php进去直接看源代码。

抓包上传文件发现上传文件改为php后没有后缀所以尝试修改但是改为phtml ,phpphp,phphp都没用最后改为pphphp后缀正好为php在这里找到地址。

发现提交无法点击试试修改一下数据将disabled改为disabled然后点击点击提交但是发现有字数限制所以我用抓包做。

抓包修改ip即可。

输出是一个由字母和数字组成的长字符串，这个字符串是生成的独特模式。这种模式通常用于调试和安全测试中，特别是在利用缓冲区溢出漏洞时。通过在易受攻击的程序中引发缓冲区溢出，并观察程序崩溃时的输出，安全研究人员可以使用这种模式来确定崩溃发生时的内存地址。这可能是为了覆盖其他关键数据结构，或者仅仅是为了确保溢出的数据足够多，以便在调试过程中更容易识别和分析。在http://shell-strom.org/shellcode中找合适的shellcode复制。这些中其他的都会被弹回只有8.3K的那个不会。

打开题目看后台输入20200101之后发现没有什么变化然后抓包发现也没什么用突然想到可不可以改下数然后将20200101改为20200102发现有一个f但是注意只有改username有用改password没用然后只一个一个是发现flag为02~11flag为flag{dlcg}

看代码让post一个yyds=666 同时get一个sys但sys被很多过滤了但并未过滤passthru()函数 由于空格被过滤所以用%09绕过发现flag所以查看sort：用于对文件内容排序并输出内容。

先知道自己虚拟机的ip地址然后扫描挂载机的题目ip用arp-scan -l就行。

诶，好像链接合法了，但是http://在前面是无法执行JavaScript，那么如何去除呢，我们想到这个是php代码，是不是可以用双斜杠进行注释，发现href被过滤了 script也被过滤大小写也被过滤了。伪协议，则：后面的代码会被当成JavaScript来执行。的照片设定的，可以记录数码照片的属性信息和拍摄数据。这一题和上一题一样的手法，只是字段改变了是在http请求头中的user-agent字段上。然后输入框的就会被添加 onclick属性，我们点击一下输入框，即可过关。发现与第三题相似就改一下符号。

文件扫描存在upload.php.bak我们要上传一句话木马，文件大小要小于24字节，名字长度要小于9，后缀小于等于3，名字中不能有php（抓包修改也不行）所以要上传一个.user.ini，内容为用蚁剑连接可以测试成功却无法操作改为网页指令这里可以开头带有四个文件。

得密码为999999999解码得一张图片放随波逐流里放随波逐流提取文件解压再放随波逐流中分离文件。

1. 过滤空格, 可以使用括号() 或者注释/**/ 绕过2. 过滤and, 可以使用or替代3. 过滤union, 可以用盲注替代联合注入4. 过滤逗号, 可以使用特殊语法绕过, 比如:substr(database(),1,1) 可以用substr(database() from 1 for 1)来代替。

然后用python写出解密脚本。

按F12看源代码发现代码读代码发现1.我们传的参数中不能存在和%5f，可以通过使用空格来代替_，还是能够上传成功。2.正则表达式"/^23333/ " ，开头结尾都被 " " 和 " /"，开头结尾都被"^"和"/"，开头结尾都被""和""固定，不能匹配如"23333a"等内容，可以使用“%0a”（换行符）绕过上传。

发现为注入题但尝试后并没有成功发现为如果我们输入"%\"或者"%1$\",他会把反斜杠当做格式化字符的类型，然而找不到匹配的项那么"%\","%1$\"就因为没有经过任何处理而被替换为空。如果%1$ + 非arg格式类型，程序会无法识别占位符类型，变为空因此sprintf注入的原理就是用一个15种类型之外的"\" 来代替格式字符类型让函数替换为空，则“%1$\'”后面的单引号就能闭合前面的单引号。此外，还要注意函数addslashes()作用是返回在预定义字符之前添加反斜杠的字符串。

打开题目点击flag，hint发现没什么线索结合题目The mystery of ip 说明与IP有关抓包添加X-Forwarded-For表头发现可行尝试命令执行找到了flag用cat查看。