• 简单的导航站

注册临时账户，查看所有用户

源码中发现提示了密码Admin1234!

尝试登陆爆破用户名

使用P0la2adm1n和Admin1234!登陆发现是一个文件上传

直接上传一句话

查看flag

下载下来逐个用flag认证接口检查

得到flag{T4PwCg1RrQNsO4EcrQmU}

• 井字棋

根据js直接post发包即可

• button

查看script.js

直接访问flag接口

• 狗黑子的RCE

双写绕过+黑名单绕过rce

• xxmmll

看到提示xxmmll.php

直接在输入输入一个xxe payload即可

• 坏掉的上传页

原来的上传html坏掉了，直接自己写一个新的

然后扫目录发现一个config.php

看到提示了database.db，直接访问看到给出了实际路径

直接连接一句话木马即可

• Note

扫出来存在flag.txt

• 赌王

丢intruder爆破一下

ed3d2c21991e3bef5e069713af9fa6ca目录无法打开

改成访问ed3d2c21991e3bef5e069713af9fa6ca.php

输入一个xss payload提示使用confirm弹窗

我们使用<script>confirm(1)</script>即可成功弹窗得到e744f91c29ec99f0e662c9177946c627

继续访问e744f91c29ec99f0e662c9177946c627.php

让我们输入ip，典型rce，但是直接输入127提示权限不足，看源码中有提示只有4个1的地址才能执行

使用X-Forwarded-For即可

• 任务cmd

爆破密码看到xiaoming的密码是123123

登陆后通过越权看到xiaohei的信息

扫目录发现存在一个login.php

继续爆破密码

得到密码flower

登陆后直接命令执行即可

• ezezser

目录扫描发现存在git泄露

Githacker恢复一下

查看历史提交

切换至最早的一个版本

再次查看index.php发现源码都出来了

生成序列化payload

url编码，然后注意private属性%00类名%00填充和修改字符串长度

• 坦诚相见

查看过滤

查看根目录

发现没有权限查看，rm删除no.php我们就可以执行任意命令了，我们再查看一下/user/bin目录下当前用户可以执行的命令

可以执行sudo cat /flag