这道题是N1大佬做的，叫我来测试一下 url:http://dev.xswl.io:8230/ 进入后发现key source 那就可以很简单看出是sql注入 判断后为数字型，字段数为2，user为root f12-发现让我们查看源码，那就是说要拿到源码，而sql注入中只能利用load_file（）函数进行读取源码 所以，默认路径下 拿到源码 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980<?php//for n1ctf ezmariadb secret cmdif ($_REQUEST["SSSSSSSSSSSSSsecret"] === "flag_is_not_here"){    header("Content-Type: text/plain"...

从XSS到 RCE (dompdf 0day)首先进入：https://github.com/positive-security/dompdf-rce下载必要的源码 复现系统：kali 2022.1 话不多说直接开始：配置环境： 12cd application //php -S localhost:9000 12cd expliotphp -S localhost:9001 正常访问发现：我们加入title的时候会改变上面的回显尝试xss发现可以鉴于该站点没有在客户端的浏览器中存储任何敏感信息（例如身份验证 cookie），这本身就是一个低严重性的发现。 然后我们输入playload： 1http://localhost:9000/dompdf/lib/fonts/exploitfont_normal_3f83639933428d70e74a061f39009622.php 发现rce成功！ 分析漏洞点：此时，我们将注意力转移到dompdf 的源代码上，看看我们是否能够找到可以让我们进一步访问服务器的漏洞。 首先是两个配置： 在 PDF 渲染期间执行嵌入式 PHP，之后的...

WEB签到include首先进入发现有SICTF传参，并且限制了前三个字符为php加上这里有include（）可推断为文件包含漏洞利用php伪协议 得到密文PD9waHAKJGZpbGVfcGF0aCA9ICIvZmxhZyI7CmlmIChmaWxlX2V4aXN0cygkZmlsZV9wYXRoKSkgewogICAgJGZsYWcgPSBmaWxlX2dldF9jb250ZW50cygkZmlsZV9wYXRoKTsKfQplbHNlewogICAgZWNobyAiZXJyb3IiOwp9Cg== base64解密 12345678<?php$file_path = "/flag";if (file_exists($file_path)) { $flag = file_get_contents($file_path);}else{ echo "error";?> 可见直接读flag目录即可得到flag解码得到SICTF{ed2cb4ee-506f-47a8-8...