1 想想初始页面是哪个

打开后是个这样的web，初始界面考虑web目录下的index文件，访问220.249.52.133:39588/index.php，网页还会指向1.php，F12中查看响应头能看到flag，而且可以看到location参数是1.php（服务器通过响应头中的location参数告诉浏览器跳转到什么地方）。

FLAG: flag{very_baby_web}

（最开始的时候用dirsearch扫描了一下网站目录，里面有个index.php，不过后面这个箭头指向1.php也许就代表了location指向1.php？）

2 Training-WWW-Robots

打开之后是关于robots.txt的介绍，直接访问http://220.249.52.133:48442/robots.txt

可以看到有个f10g.php文件，访问它就能得到flag

（robots.txt放在web根目录下，里面规定了哪些内容不能被爬取，但是可以直接访问。。。）

3 unserialize3

考查了php反序列化的内容。一个类xctf，一个公共变量flag，还有个wakeup方法。关于php序列化的问题，之前没怎么接触过php，百度之后知道类中可以有两个方法，__sleep和__wakeup，称之为php的“魔术方法”。在序列化前会先调用__sleep方法，知名哪些变量是需要进行序列化的，像这种没有__sleep方法或者未指明的，意思是所有变量都需要进行序列化；反序列化之前先调用__wakeup方法，通常会进行数据库连接等一些初始化操作，准备好反序列化需要的资源。

题目中如果调用了__wakeup方法会返回bad request，所以反序列化的时候需要绕过__wakeup方法。

找个在线php工具，加两行代码。

运行结果：O:4:"xctf":1:{s:4:"flag";s:3:"111";}

具体含义是

类型是object：名字长度是4：名字是xctf：包含1个变量 { 类型是string，名字长度是4，变量名是flag ； 类型是string，名字长度是3，变量是111}

这里有个php反序列化漏洞，如果包含变量个数那里，比实际包含的变量个数多的话，反序列化时__wakeup函数就不会被执行，所以把代表变量个数的1改成比1大的数即可。

4 ics-06

云平台报表中心收集了设备管理基础服务的数据，但是数据被删除了，只有一处留下了入侵者的痕迹

看到题目还查了查ics是什么，但是没查到。打开页面是个监控系统，左边有一列导航，只有报表中心能点进来，别的点了都没反应。

报表中心点进来之后长这样，可以输日期范围，试了试发现没有反应，F12也没有发现问题。但是url那里传递了一个参数，id=1.

看了wp之后才知道这种情况需要爆破。。。

在做web新手题中有一个题也需要进行爆破，当时学习了怎么用brup进行操作。开代理，然后对访问网页进行拦截，send to inturder。之前是直接导入了简单字典，这里因为是id，只需要导入一定范围的数字即可。payload type这里选择numbers，可以设置number range，不用再自己进行构造了。设置好范围进行start attack的时候遇到了一个问题，会报错，显示Payload set 1: Invalid number settings，我们设置了1w个数，但是payload count那里还是显示1.这里需要在number format那里，先点一下hex，再点decimal，这是上面payload count那里就变成10000了，再start attack就没有问题了。

爆破完之后，id=2333时长度不一样，查看响应发现flag：cyberpeace{ad66b779c12e535de91a2102a3eac2da}。

（还是要多积累经验，不然看到传参id=1也不会想到要爆破）

5 PHP2

这道题目没有给题干，网页点进去只有一行字，意思是“你能不能证明此页面真实存在”。

dirsearch扫描了一下，目录下面只有一个index.php，F12也看不出问题，做到这我就又不会了。。。

看了wp，要在url的index.php后面加上一个s，即访问http://220.249.52.133:58465/index.phps，可以看到php的源码。在实际应用中这是非常不安全的，正常的网站看不到php源码。

下面就是php源码。网页可以接受一个get请求，参数id如果是“admin”，会显示“not allow”。如果经过urldecode后是“admin”，会允许访问。这里需要注意个问题，用url进行传参时，浏览器会先对url进行一次解码，传参进来之后php代码又会进行一次解码，总共解码了两次。也就是说传参的时候，参数需要进行两次urlencode。

关于如何转码，brup里提供了工具

最下面那串长的即为admin经过两次urlencode的结果。访问http://220.249.52.133:46317/?id=%2561%2564%256d%2569%256e就能得到flag。

flag：cyberpeace{ace9d755225bfdb5a009627bc344f981}

6 NewsCenter

打开之后是个新闻页面

有一个搜索框，考察了sql注入。先用brup抓一个包，将请求头保存到txt文件中

然后用sqlmap进行爆破，命令 sqlmap -r 1.txt --dbs，看看有哪些数据库。

扫出来两个数据库，看看数据库中的内容是什么，发现news数据库中有想要的信息，命令 sqlmap -r 1.txt -D news --dump,看到结果。

（笔记写的比较潦草。有大佬直接手动注入的，但是自己sql忘得也差不多了，直接用了sqlmap工具，这里用了-r命令，或者直接--data传递参数也是可以的）

7 NaNNaNNaNNaN-Batman

只有一个附件压缩包，解压得到一个文件web100，没有后缀名，先用txt打开看下发现是有乱码的js

后缀名改成html，打开只有一个输入框

将上面源码最后面的eval改成alter，再次打开，让网页弹出源码，浏览器处理之后乱码也没有了

整理代码之后。。。（https://beautifier.io可以在线整理代码）

有一个函数，会对输入值进行正则匹配，长度为16，且包含‘be0f23’, '233ac', 'e98aa', 'c7be9'四段字符串，且指明起始是‘be0f23’，末尾是‘e98aa’，构造字符串‘be0f233ac7be98aa’，输入到输入框中即可。或者直接在浏览器控制台中执行if语句判定之后的那段代码，也能得到结果。

（js代码最后面改alter查看源码）