#作業&教案報告 ---- 作業 --- web_session(只有改flag) ---- 按f12然後查看cookie中的phpsessid的value，然後利用fox變數以get方式傳你複製的phpsessid ---- 原理:伺服器會有一個專門存放session的地方，依照這題的原始碼來看，其session存的位置是tmp/sess_，然後稍微來理解一下原始碼的邏輯，if內的函式是用來判斷那個路徑有沒有存在檔案，再加上session的存放的檔名通常都是由session_id作為檔名，所以我們合理推斷在{tmp/sess_PHPSESSID}那個路徑下會有由PHPSESSID為檔名的檔案存在，至於題目是用get方式接變數，所以直接網址後面接?(題目有給可以利用的變數)=PHPSESSID(F12後去Cookie那邊查看即可)即可得到flag ---- 圖解:  ----  --- web_md5 ---- 查看原始碼，發現一個帳號為seal密碼為0e開頭的，帳號丟seal,然後密碼找經過md5加密會開頭等於0e(0e開頭經php語法解析後會被當作0)的字串丟進去密碼欄即可 ----  ----  ----  ----  ----  --- web_lfi(改製版，因為自己做的題目解法比較簡單) ---- index.php ```php= <?php $file = $_GET['a']; if(isset($file)){ include($file); } ?> ``` flag.txt ```txt= flag{lf1} ``` ---- 解法如圖:  --- web重定向(自製) ---- 點進去，這題在諷刺解不開的人就像火鍋一樣端不動統神滑倒了，所以一怒之下趕緊吸了幾口網址(curl url)，發現一個圖片檔，趕緊連過去看有甚麼火鍋料，哦，原來是qrcode，掃一下就有flag了 ---- 原始碼: ```htmlembedded= <html> <head> <script language="javascript"> location.replace(" https://youtu.be/8KU5Bp0QSE4") </script> </head> <body> <img src=http://s05.calm9.com/qrcode/2021-04/METFOSHAQE.png> <script language="javascript"> document.form1.submit() </script> </body> </html> ``` ---- 圖解:  --- 教案 ---- docker，我就pwn到你裝不下 ---- 期望結果:在報告前能成功用docker-compose.yml或dockerfile跑幾個簡單的pwn，及挑戰web+pwn的題目 ---- 方法:參考ctf的dockerfile/docker-compose.yml配置，並在本地端模擬一次，有問題就去問學長姐 ---- demo ---- install&check: ``` $sudo apt-get install docker.io $service docker status ``` ---- search image&download image ``` $docker search <你要的image> $docker pull <你要裝的image> ``` ---- list image ``` $docker images ``` ---- list/run/stop/remove container ``` $docker ps -a $docker run <image_name> $docker stop <container name/id> $docker rm <container_name> ``` ---- docker-compose file usage: ``` $docker-compose up #run container through docker-compose.yml ``` ---- docker-compose.yml sample: ``` version: "2" services: web: image: php:7-apache ports: - "8003:80" volumes: - ./php:/var/www/html/ ``` ---- index.php (/php) ```php= <?php highlight_file(__FILE__); $file = $_GET['a']; if(isset($file)){ include($file); } ?> ```