战队成员姓名：Firebasky、Y4tacker、lastsward、atao、m1n9yu3

首先传?flag=1，发现似乎是smarty，

测试{$smarty.version}，

成功过滤cat，用tac发现是smarty注入简单了

那就flag={if passthru(“tac fl*”)}{/if}

即可获得flag

首先打开页面看到接收url参数，是ssrf考点

测试发现是只能http[s]://开头，然后尝试302跳转，自己vps上面开启，

发现居然可以得到

传入参数之后访问，获得flag

发现过滤太多了，from，or，等等还有长度限制，

之后拼接1;show tables%23得到堆叠注入

传入1;SHOW PROCESSLIST%23显示哪个线程正在运行

得到结果Array ( [0] => 1 ) Array ( [0] => 52 [1] => root [2] => localhost [3] => CTF [4] => Query [5] => 0 [6] => logging slow query [7] => SHOW PROCESSLIST#||flag from Flag )

突然想到了在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接。但在mysql 缺省不支持。需要调整mysql 的sql_mode模式：pipes_as_concat 来实现oracle 的一些功能。

因此得到payloadquery=1;set sql_mode=PIPES_AS_CONCAT;select 1

打开题目Hello，F12后发现隐藏信息有write，dir，unlink，upload用了dir发现sandbox下面有code.html，

之后访问http://739c3f33.yunyansec.com/sandbox/code.html发现代码，再结合开始界面，有个unlink，很容易想到是phar反序列化

构造