21、Header

開啟連結後顯示“什麼也沒有”

檢視原始碼：

無可用資訊，故轉換思路，使用burpsuite抓包來進行分析：

抓到的包：

傳送到repeater模組：

單擊GO進行檢視Response相應：

題目考察點：  思路轉換絕處逢生！

22、上傳繞過

開啟連結：

檢視原始碼：

結合題目名可知這是一個檔案上傳繞過試題

我們結合提示：“猜猜程式碼是怎麼寫的”可知它可能對檔案的格式（JPEG、JPG、PHP、ASP、jsp等）、檔案大小等內容有限制

我們先試試上傳一個圖片格式的檔案看看：

那麼之後上傳一個PHP檔案看看：

通過上面的測試，可以知曉題目要求上傳一個圖片格式+PHP格式的檔案，此時我們可以聯絡到/00截斷來實現，具體操作如下：

上傳一個PHP檔案，並抓包：

之後改包

採用00截斷

之後返回檢視截斷效果：

釋放包並檢視瀏覽器所提供的頁面：

題目考察點： 00截斷的使用

23、SQL注入1

開啟連結

檢視sources:

程式碼含義解釋：通過post提交方式 user與pass,而且提交的user必須是admin.但是密碼不知道。所以就得在$sql=這句想辦法繞過and (pw='".$pass."') 這段 ，所以構造的語句就是這樣語句：

Username=admin ‘)#  之後提交可得：

題目考察點： 程式碼審計  sql注入語句的構造

24、Pass check

原始碼：

<?php
[email protected]$_POST['pass'];
$pass1=***********;//被隱藏起來的密碼
if(isset($pass))
{
if(@!strcmp($pass,$pass1)){
echo "flag:nctf{*}";
}else{
echo "the pass is wrong!";
}
}else{
echo "please input pass!";
}
?>
 

開啟題目地址連結：

解題思路：

這道題目中使用了strcmp()函式來比較pass和pass1的值是否相等。但是strcmp()同樣存在漏洞。關於strcmp的漏洞網上有很多，這裡截取了網上的一段分析:

strcmp() 函式比較兩個字串。該函式返回值情況如下所示：

 0       如果兩個字串相等;

<0     如果string1小於string2

>0     如果 string1 大於string2

注意：這裡的strcmp函式實際上是將兩個變數轉換成ascii 然後做數學減法，返回一個int的差值。

也就是說鍵入兩個相同的字串進行比較得到的結果就是0！

但是有一種特殊情況就是讓陣列和字串比較，此時PHP會返回NULL！

那麼這道題目就可以將pass以一個數組的方式傳入。

25、起名字真難

原始碼：

<?php
 function noother_says_correct($number)
{
        $one = ord('1');                                      將1裝換為其對應的asicc值並且將值賦給$one
        $nine = ord('9');                                     將9轉換為其對應的asicc值並且將值賦給$nine
        for ($i = 0; $i < strlen($number); $i++)
        {   
                $digit = ord($number{$i});                    依次將變數$number中的字元裝換為對應的asicc值
                if ( ($digit >= $one) && ($digit <= $nine) )  如果變數$digit的asicc值介於1和9的asicc值之間則返回false,否則繼續
                {
                        return false;
                }
        }
           return $number == '54975581388';
}
$flag='*******';
if(noother_says_correct($_GET['key']))
    echo $flag;                                         獲取flag的關鍵在於if的條件判斷語句要為真
else 
    echo 'access denied';
?>

為了驗證成功獲得flag我們可以傳入16進位制數值，訪問的URL為：

之後檢視原網頁：

題目考察點：程式碼審計

26、密碼重置

開啟連結：

檢視原始碼：

無可用資訊，我們原回到提交頁面，並且提交一個新密碼，並且抓包試試：

此時我們轉到Params下：

之後我們可以看到URL是經過base64加密的，而且聯想到密碼的最高使用許可權就是系統的管理員admin,所以我們採用admin試試：

之後修改URL、user、password：

之後轉到Raw塊：

之後釋放包之後再檢視原網頁：

題目考察點：慣性思維推理

27、PHP反序列化

網頁無法訪問，故跳過！

28、sql injection 4

題目提示：

開啟連結：

檢視原始碼：

提交方式為get提交方式，採用了過濾手段將提交的使用者名稱與密碼中的所有的單引號、雙引號進行了過濾操作，所以可以使用\來讓’來閉合，構造語句如下：

以上構造語句帶入資料庫查詢的語句相當於：

SELECT * FROM users WHERE name='\' AND pass=' or 1= 1#';

29、綜合題

開啟連結：

之後這接在控制檯跑一次：

加字尾之後訪問一下：

發現之後找不到內容，之後回到起點，注意點提示“bash”百度了一下相關，最終查出/.bash_history這個是用來存放歷史記錄的，這時候嘗試訪問 

得到 
zip -r flagbak.zip ./* 
直接訪問flagbak.zip 

會得到一個下載壓縮包，下載即得flag

30、sql注入 2

開啟連結：

檢視原始碼：

strcasecmp是不分大小比較，這樣只要得到密碼md5值相同即可，提示已經說了用union,我們就可以構造最簡單的payload：

username:username' union select md5(1)#

password:1

說明：

最前面的單引號是為了閉合原文中的where user=‘     And 0=1 是為了使前面的表示式返回值為空從而使得從而使select pw from php where user='' AND 0=1這句話完全沒用

接著我們使用UNION SELECT "c4ca4238a0b923820dcc509a6f75849b"，直接把MD5值作為返回值retuen給$sql，這樣在查詢的時候$query就會有值。c4ca4238a0b923820dcc509a6f75849b這串MD5值是數字1經過MD5 hash之後的結果，可以直接用MD5(1)代替最後的#用來註釋掉後面沒用的東西最終，將'AND 0=1 UNION SELECT 

"c4ca4238a0b923820dcc509a6f75849b" #附加輸入到user框裡，將數字1輸入到pass框裡，登入成功。

31、綜合題 2

這個題目筆者想了只是看到了一些可以使用的資訊，但是最後也沒有搞出來，這些資訊有：

通過替換file之後的檔名可以獲取到不少的資訊量！

有興趣的人可以繼續深入研究！