Web–command_execution
题目描述:小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。
打开场景后:
因为是一个执行ping的输入框,访问本地(127.0.0.1)
访问成功后,尝试获取当前目录,使用命令“Is”
访问成功后,寻找txt文件,输入命令“127.0.0.1 &&find / -name “*.txt”。
可以看到里面都flag文件,使用cat抓取文件
就得到了我们的flag。
Web–simple_php
题目描述:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。打开场景后:
显示一段php代码,分析代码的含义,此题要求a为真,且b值大于1234而且不能是数字或者数字字符串。我们可以给a赋值一个未知数,比如a或者b都可以,b可以赋值一个大于1234。
果然,得到了我们的flag。
CRYPTP–幂数加密`
附件为
根据网络查询,这是云影密码,需要将0当为隔板,然后将各个数字相加,得到数字,换算ascll码。
得到了我们的flag。