web9专题

ctfshow之_萌新web9至web10

一、访问在线靶场ctfshow 1、web9 如下图所示,进入_萌新赛的web9问题,题目提醒flag在config.php中:  如上图所示,可以get传参,且传入的参数需要正则匹配system、exec、highlight,且不区分大小写,eval()可以远程执行命令。 尝试传入参数c=system('ls');,如下图所示:  可以查看到2个文件,再尝试查看第一个文件的内容

ctfshow-web9(奇妙的ffifdyop绕过)

尝试万能密码登录,没有任何回显 尝试扫描目录,这里不知道为啥御剑什么都扫不到,使用dirsearch可以扫到robots.txt 查看robots协议 访问下载index.phps  查看index.phps  简单审计一下php代码: $password=$_POST['password'];if(strlen($password)>10){die("password er