黑盒測試

web380

通過dirsearch掃出flag.php和page.php。
訪問page.php，出現報錯信息，猜測是文件包含。

$id.php猜測可能后端進行了拼接.php。
嘗試給id傳參flag，得到flag。

web381

通過dirsearch掃出page.php。
訪問page.php，出現報錯信息。

進行了前后拼接，可以通過/../page訪問到源碼。

但是沒有找到存儲flag的文件，開始看前端有哪些可疑目錄。
在index.php中發現/alsckdfy目錄。

訪問/alsckdfy目錄，出flag

web382

由上題可知后臺在/alsckdfy，直接訪問。

隨便輸入個密碼提交，得到check.php

這里有兩個方法得到flag。
方法1： 直接使用page.php的文件讀取，直接讀check.php。

直接就出flag了。。。
方法2： 有了check.php源碼，直接sql萬能密碼admin' or 1=1 #繞過，得到flag。

web383

同web382的方法。。。

web384

方法1： 同web382方法1。。。
方法2：
題目提示密碼為前2位是小寫字母，后三位是數字，直接用burp爆破。
這里萬能密碼用不了了，后端做了過濾。

所以只能通過burp爆破，通過burp中爆破模塊中的Custom iterator來自定義密碼，第一位這是小寫字母，第二位這是小寫字母，以此類推。

爆破出密碼為xy123。

web385

方法1： 同web382方法1。。。
方法2：
通過目錄掃描掃出/install目錄和/install/index.php文件。
訪問/install/index.php，提示可以恢復默認管理員密碼。

但是我們不知道管理員默認密碼，嘗試通過page.php來讀取/install/index.php文件，發現賬戶和密碼為admin和admin888

輸入賬戶密碼即可得到flag。

web386

方法1： 同web382方法1。。。
方法2：
先訪問/install，但lock.dat存在我們無法恢復默認密碼了。
所以嘗試找其他能刪除文件的漏洞。
通過目錄掃描到clear.php文件，訪問。

顯示清理完成，使用page.php讀源碼。

發現可以通過file參數，傳入想刪除的文件，即可刪除，我們通過其刪除lock.dat。

訪問/install?install，即可恢復，同web385方法，獲得flag。

web387

通過dirsearch掃描得出以下目錄。

訪問debug目錄，猜測參數為file，發現可以包含文件，但當什么都不傳的時候，出現php命令報錯，發現可以命令執行。

直接通過|| ls /嘗試執行命令，執行成功。

最后使用rm將lock.dat刪除，恢復默認管理員密碼，就可得出flag。

web388

通過/debug/?file進行日志包含，直接在UA頭加<?php unlink('/var/www/html/install/lock.dat')?>，即可刪除lock.dat。