使用管道符|列出文件。 127.0.0.1|ls ../../../ 然后继续查看flag 127.0.0.1|cat ../../../flag 得到flag 同时还可以127.0.0.1||ls /cat /flag 知识点：管道符的使用：连续使用管道意味着第一个命令的输出会作为 第二个命令的输入，也就是返回上一级一定注意空格！！

进去只看到一个滑稽表情，然后打开网页源代码可以看到source.php然后访问。 打开后是php代码审计。 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849...

这是一道http的题，先打开burpsuite。 在target栏下看到其中还有一个secret.php页面。这是第一步。 打开后显示请求不是来自”https://www.Sycsecret.com"。 这是我们需要加入Referer响应头。它提供了引导用户代理到当前页的信息，用于统计文章来源和图片防盗连接。本题类似于图片防盗链接的应用。 将此页面发送到burp suite的...

让上传头像，试了试上传php文件，不可以。 将php文件换成jpg，里面是一句话。但是被检测出来了。加了GIF89a同样被检测。 试试用js包裹。但是这里文件的格式就不能是jpg了，试了html不行，但是可以用phtml <script language="php">eval($POST[123])</script> 然后返回说它不是图片。这时我...

看到个动态猫，然后看网页源代码有如下注释 12345$cat=$_GET['cat'];echo $cat;if($cat=='dog'){ echo 'Syc{cat_cat_cat_cat}'; } 猜想为get传输，然后尝试?cat=dog直接出flag。

页面看到一句话木马 然后用中国菜刀连接下。并没有那么复杂，直接就可以连接上。 在根目录找到flag.

进去看到ping，应该是拿文件，试试?ip=127.0.0.1;ls 出了flag.php和index.php，试着打开flag.phpcat flag.php 然后被过滤了空格 然后查看资料后可以用${IFS}$过滤，使用之后大括号也被过滤了，不过没关系，我们可以不用大括号，注意过滤符后要加一个数字，不论是多少。 然后继续cat$IFS$1flag.php发现又过滤了f...

上图~~~ 这界面真是短小精炼，经过一番很正经的乱七八糟的操作，显然，在我即将刷完且没有刷完的sqli-labs的程度下，这道题对我来说是没有任何悬念的。操作之后发现只有输入非零数字回显“1”，输入其他字符得不到回显。这下是完了，我的盲区。 经过大佬推断，这里的内部查询语句可能有一个判断。我是这样理解： select输入的数据 || 内置的一个列名 from 表名。 查看网页源码，...

好熟悉呀，貌似又是一个堆叠注入。 打脸了，不是的，就是正常的注入。 然后就展示吧。~~~ 判断闭合，判断过滤。 结果为单引号闭合，order by 2# 返回正常。 联合查询时 这里过滤了select。 通过大小写，双写，都被劝退。已经意识到不对劲了，那就套娃。 很明显，flag在ctftraning 注注注，随便注，flag就在眼前，可就是没法查。 因为也过滤了 . ，通过ur...

buuctf: 【极客大挑战 2019】 EasySQL上图~~~ 靶机是这样的一个登陆界面，先试试万能用户名和密码，会出现错误，之后在，密码框进行注入。 这里进行了报错，但不知道什么情况，之后将or的双写绕过更换回去，直接给出了flag，可能是我想太多了把。