本系列题目来源：CTFSHOW: https://ctf.show/challenges
开始代码审计

web301

下载地址： https://ctfshow.lanzoui.com/ilMPgjfeyxa

用 seay 啥也没审到。

直接手工来。

checklogin.php:

这里很明显,没有过滤而产生 sql注入。

payload:

成功登录，拿到flag.

web302

修改处

fun.php:

在本地尝试一下：

构造payload:

web303

下载地址： https://ctfshow.lanzous.com/i6wtkjg1gxa

seay审计，

有注入漏洞，而用户名登陆出限制了用户名长度无法注入。

dptadd.php:

dpt.php:

但前提是得登录。

尝试弱口令 admin/admin 登录成功。

在增加数据后，会在中显示数据。

构造paylaod:

web304

增加了全局waf

但是还是可以注入。

payload:

web305

多了waf:

但是多了个反序列化写文件漏洞点。

class.php

checklogin.php:

那么只需要传cookie即可利用返反序列化写文件。

exp:

得到

在传入cookie值。即可写入shell.

蚁剑连接：

连接数据库：

web306

代码地址：https://pan.baidu.com/s/14NNHrtQayhOBN9t8Iq3V_g提取码 wiji

class.php:

又有反序列化写文件。但不同的是这里得手动调用函数,而不是析构函数了。

但是在过程审计的时候，这里

login.php

只要cookie传入一个序列化后base64编码后的字符串都可以成功登录后台，但并没卵用。

接着审计。看看有没有地方调用的。

在中：

他的析构函数正好调用，那么如果使其为 log 类就可以成功了，恰巧这里也包含了 class.php ,。

此时我们有需要去找一个调用的，找到,

正好包含了,而且有反序列化。

Exp:

把得到的字符串当作 cookie user 值访问 index.php,就可写入shell.

web307

下载： https://ctfshow.lanzous.com/i *** hxjgy8bi

使用 seay 发现两处疑似漏洞点，之一处由于 *** 名漏洞点无法利用。

第二处：

dao.php

我们可以通过 seay 全局搜索函数的功能找到那里调用此函数。

审计代码，发现可利用：

但是这里没有直接包含,

我们去看看,发现其包含的，并且service 类也有调用函数

所以很明显了，这里利用进行反序列化任意执行命令的漏洞可以：

通过 service.php 调用 dao 类调用其函数

直接调用 dao.php 调用其函数

因为这里还需要用到, 他是config.php 中的变量，

web308

下载： https://ctfshow.lanzous.com/i6HyHjh8njg

与上题相比这里增加了过滤：

但是又有一尺 ssrf 可利用。

dao.php:

fun.php

在 index.php 中被调用：

利用 gopherus打内网 mysql.

exp:

得到 shell.

web309

FastCGI是用来提高CGI程序性能的。类似于CGI，FastCGI也可以说是一种协议。简单来说就是CGI的优化：对于CGI来说，每一个Web请求PHP都必须重新解析php.ini、重新载入全部扩展，并重新初始化全部数据结构。而使用FastCGI，所有这些都只在进程启动时发生一次。还有一个额外的好处是，持续数据库连接(Persistent database connection)可以工作。

exp: