#Web安全

源码：

CISCN2019
有三个判断。
1：输入不能大于80
2：不能有空格\t\r等字符
3：只能用白名单内的函数

源于Black hat 2019的一个议题。刷题的时候也出现了这类知识点
https://i.blackhat.com/USA-19/Thursday/us-19-Birch-HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization.pdf
然而。全英文。心累

题目大概结构
注册、登陆、信息查看、头像上传

打开题目。index.php登陆界面。尝试register.php。提示：注册已经关闭

md5算法

过滤源码如下：

$black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in|<|>|-|\.|\(\)|#|and|if|database|users|where|table|concat|insert|join|having|sleep/i";
If $_POST['passwd'] === admin's password,
Then you will get the flag;

进入页面。就一个框。输入IP。就想到DVWA的命令注入。一般就&,&&,||,|,;执行命令

源码如下

分析代码
1.
首先就是根据IP。创建个沙盒文件夹

进入web页面。就看到和伪造IP有关的XFF头。

phar介绍

phar反序列化是利用phar://伪协议配合其他条件。进行反序列化
phar归档文件主要是用来将多个文件归档到一个文件。和压缩文件差不多。然后通过phar协议去解析文件

一题关于回调函数和session+lfi的题目

简介
open_basedir用来限制用户可访问的目录。访问当前/var/www/html下

什么是无参数RCE，也就是不加参数只调用函数。远程执行代码

SSTI