PHP训练靶场
594
1
236

应该要说明一下搭建靶场的环境要求

如文件上传部分的白名单关卡,常用绕过是00截断,要求php版本<5.3.4,然后靶场好像是基于smarty实现的,我在切换到php5.2版本时页面是空白的,我猜测跟版本多少有些关系。

然后后面的xxe部分,php的xxe对libxml版本需要<2.9.0,大多数人搭建估计都用phpstudy,我也踩坑了,需要切到php5.4.45版本,libxml为2.7.8。但是卡在远程引入dtd的地方,在调试时后端代码是成功解析了xml,但是服务器没看到请求过来。

总的来说和运行环境有很大关系,所以希望可以给出运行环境要求,最好能够提供docker版本。