题目一名称 1.  步骤一 抓包改请求方法为HS即可 题目二名称 1.  Xxxxx 拿dirsearch扫一下目录发现robots.txt,里面提示user.php.bak,访问下载下来，得到user.php的源码，看起来就像反序列化，不过没看到unserialize函数，先放在这，然后通过测试，可以在view.php get…

这题走md5肯定是行不通的，那么关键就在这个copy函数上，像file（），copy（）这些系统文件操作函数是可以使用php伪协议的，但是毕竟不是文件包含，无法直接将文件包含出来，那么可以通过侧信道爆出来，工具地址https://github.com/synacktiv/php_filter_chains_oracle_exploit， 多爆几次，…

1 查看源码 2 3 抓包，flag在响应里面 29 传入c参数，不能含flag，可以用通配符绕过，eval函数将字符串当作php代码执行,所以用system('cat *lag.php') 30 过滤了system，flag和php，直接passthru('cat fl*'); 31 过滤了"cat sort shell"以及，点，空格，单引号 …