icq

include

在这里插入图片描述
直接给出了源码并显示了phpinfo，我们随便输一个flag.php

可以看到phpinfo不见了，在输入phpinfo.php，又再次显示了，那么说明包含是可以的,但是当前目录或者没有flag.php，好吧我就卡在这了，…/返回上级目录也看不了flag，才想起来php伪协议
先试试能不能读文件吧

php://filter/read=convert.base64-encode/resource=index.php

在这里插入图片描述
成功的读了文件，php伪协议还有一个input：php://input，可以post写入东西

post一个ls命令，看到了dle345aae.php，cat一下就是flag。不过这里直接在网页上好像没有显示

————————————————————————————————————————————————

Zone

首先是个登录页面
在这里插入图片描述
不过输入什么登录都会显示网站正在建设中，burp抓包看到有一个login=0，把他改成1

还是返回网站建设，但是当我们把login.php去掉，就会进入

乱码没关系，点manage看看，得到了如下url

看来是把index和php拼接起来了，试着访问flag.php
在这里插入图片描述
构造如下url

可以看出该题过滤了../，我们可以用..././绕过，访问etc/passwd

是nginx，看看nginx配置，访问nginx/nginx.conf

在这里插入图片描述
可以看到有个sites-enabled/deafult，看看有啥

看到有

 location /online-movies {
            alias /movie/;
            autoindex on;
        }

nginx通过alias设置虚拟目录，而若是root设置则必须位真实目录

上面代码的意思是如果访问/online-movies，则会被当成/movie/，这就是alias的虚拟目录

autoindex on 意思是开启循环遍历目录

当我们访问/online-movies，就会循环遍历/movie/，若当我们访问/online-movies../，则会被当成/moive/../，再加上遍历目录就可以看任意文件了
在这里插入图片描述
../应该只在那一个参数中设置了过滤，所以这里仍然可以使用，访问var/www/html/flag.php，自动下载文件

————————————————————————————————————————————————

onethink

hint：用已知漏洞拿shell，百度一下onethink1.0漏洞，搜到一篇文章
点这里
是文件缓存漏洞，具体的做法是注册一个

%0a$a=$_POST[0];#

在注册一个

%0aecho `$a`;#

之后再访问用户页面，输入系统命令0=ls，即可完成getshell，那就来试试

先注册第一个用户，注意注册的时候要把%0a也就是换行符在burp中urldecode，如下图
在这里插入图片描述
然后再注册第二个用户，同上理，然后登陆随便哪个账户，同理decode，然后访问用户所在的url

/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php

这里的目录一开始我以为是要访问用户名的MD5值，后来解密2bb202459c30a1628513f40ab22fa01a，发现是
在这里插入图片描述
应该是这个框架下指定的，访问该页面，post传0=ls

可以看到getshell了，之后就找flag就好了

flag在源代码里

我比较好奇的看了一下2bb202459c30a1628513f40ab22fa01a.php也就是用户组的内容

果然是所有用户的信息