环境搭建

windows

打开https://www.xp.cn/download.html/下载小皮面板，双击安装即可

将靶场文件解压复制到www目录下即可

Macos

打开http://www.xsrvs.com/下载MxSrvs

安装完成后，点击启动nginx和php

将靶场解压放在MxSrvs程序下的www目录中

浏览器访问http://127.0.0.1/Mimikyu/即可

pass01

提示：where is flag，我们尝试查看源代码，无法使用右键，我们在url前面输入：view-source:查询到flag

pass02

提示：Homepage，通过抓包在返回包中获取到flag

pass03

提示：请用GET方式提交一个名为1,值为1的变量

在url后面加上：?1=1即可

pass04

打开url什么都没有，进行目录扫描，发现robots.txt文件，目录扫描工具链接：https://github.com/lemonlove7/dirsearch_bypass403

访问f1ag_1s_h3re.php得到flag

pass05

提示：index.php的备份文件名是什么？

进行目录扫描发现www.zip

解压得到index.php，打开得到flag

pass06

提示：老师上课好像讲了什么夹心饼干

使用burp进行抓包，在cookie中得到cookie.php

访问cookie.php提示See Response 

抓包在Response 中华得到flag

pass07

提示为什么这个按钮不能按呀？？

f12定位到如下图的地方

将disabled进行删除，回车，点击flag，得到flag

pass08

提示：ip地址必须为123.123.123.123

进行抓包，在请求头中加入X-Forwarded-For:123.123.123.123，重放得到

返回数据必须来自https://www.google.com

在头部上加上上Referer伪造

Referer:https://www.google.com 得到flag

pass09

通过阅读源代码知道：目标是绕过给定的条件来输出 $flag1 和 $flag2

获取 $flag1

将 $a 设置为 '0e1234'，这是一个不规范的数值科学计数法表示。在 PHP 进行松散类型的数值比较时，它会把此字符串解释为 float(0)，因为“0”乘以任何指数仍然是“0”。实际上，我们成功绕过了 $a==0 and $a 的条件，因为 0==0 为 true，同时 '0e1234' 在 PHP 中被解析为 float(0)

获取 $flag2

绕过检查 if(is_numeric($b))，可以传递一个字符串前缀并确保判断 $b > 1234 为真。例如，可以在 b 参数中传递一个字符串 '1235e'，这将满足给定条件并显示 $flag2。在 URL 中添加 ?b=1235e 以满足条件

进行拼接，成功获取flag

pass10

访问得到一个登陆页面

尝试弱口令爆破和sql注入

尝试弱口令爆破

输入账号密码使用burp进行抓包，右键发送interder

设置如下

载入爆破用户名字典

载入爆破密码字典

start 开始爆破

成功得到账号密码admin/1234567

输入账号密码进行登录得到flag

pass11

提示你会使用webshell吗？<?php @eval($_POST['shell']);?>

这里用蚁剑webshell工具进行连接

工具下载链接：https://github.com/AntSwordProject/antSword

连接上后右键选择文件管理，在当前目录发现flag

pass12

通过阅读源码，发现题目允许输入 IP 地址或域名，然后服务器对其执行 ping 测试。用户输入的值将被直接传递到 shell_exec 函数，因此存在命令注入的风险。

这个题目，可以在输入框中输入一个有害的命令，强制服务器执行不安全的操作。尝试在输入框中输入值：baidu.com;ls

服务器将执行命令：ping -c 2 baidu.com; ls

分号分隔了两个命令，第一个命令是 ping -c 2 baidu.com，第二个命令是 ls。这意味着在执行 ping 请求后，服务器将发送当前目录的文件。

使用cat flag.txt获取flag

靶场下载链接

关注微信公众号：鹏组安全，后台回复ctf小白靶场即可

欢 迎 加 入 星 球 ！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群