Background
我起这个标题为是因为我很长一段时间靠小代赚生活费,靠他们活着,在这期间我遇到了各个平台上的各个不同的傻逼题,虽然平台不同,虽然考的方式不完全一样,但是让你感觉有味道是一样的(中国网络安全彳亍了)颇有一种交叉相乘积相等的乐趣
藏
作为拆那式系体爱福的核心一定是藏,什么robots.txt里写文件地址,cookies里面base64解码之后是文件地址,index.php~ www.zip,index.php.bak 将是你接触这类题的第一个考点,这种题最大的特点开局题目描述一个baby 一个easy 拼凑上后面的题型可以是什么sql,rce,unserialize,md5 而且没有源码开局写一个挑逗式的文字,你能找到我吗?当然,也有部分是需要你使用你的大扫描器狠狠的扫,当然有些时候也会有更逆天让你fuzz传参参数,颇有一种赏金猎人的感觉。还有甚者,抄袭一个js小游戏,把flag隐藏其中。对于这种题型一般都是为了做一小步阻碍,为了增加步骤,自从php爆了个development泄漏源码的点之后,现也加入了肯德基豪华午餐。细细品味有些抖音视频的奥妙:"小李啊,这个茅台没喝完,你打包回家吧",如果你知道怎么回答这类问题。估计这种类型你完全应付的游刃有余。
尼哥名单
这类题目一般你会看见一个preg_match 然后就是包裹着| | | | |,最后给一个eval 或者system,看还剩什么东西可以读文件 什么tac less more 如果你喜欢习题爱福瘦,你肯定能很好地完成他,当然还有什么无回显,要你写文件之类的,还有的就是在文件上传这 内容 后缀,要么给你留一个 要么,htaccess user.ini之类的,ssti就是什么字符串拼凑,各种符号的替代,在遇到这种题目时候,不管经验多么老道的选手都可能出现太相信自己的经验以及觉得自己思路是对的导致做的慢,或者做不出来,这种时候你就要想想傻逼怎么做,理解成为超越。
蒻
这种题目,经常是什么双等于比较 inarray 之类的函数,一般非常简单,也可能出现md5碰撞爆破,当然我就没去爆过,这种题很容易遗忘。函数那么多记得勤搜索就好了
一字反
习题爱福不能没有反序列化就像沈阳大街不能没有刀割虎割,作为可考点最多的题目,我现在张口就是一个类大小写不敏感 删掉一个结果的}让反序列化出来的对象提前释放,大大小小的链子,一字构造,可能套上之前提到的弱类型之类的题目,也可能出点什么框架的链子,或者自己找一条给你堵上
天下大同
当你复制部分源码怀着忐忑的心情使用搜索引擎,当你发现出现ctftime,韩文等字样,就说明可能有了,不多说了,懂得都懂,有的换了个皮,有的不换
最后
随便写写,很喜欢我的偶像雷哥说过的一句话 “你让orange来做这种题,不一定比我快“
太抽象惹