- 博客(12)
- 收藏
- 关注
RSS订阅原创 [SWPUCTF 2022 新生赛]1z_unserialize
我们在题目中没有看到flag.php文件说明被隐藏起来了。有没有觉得这两个很像函数+指令,system("cat /flag");让后可以看到了几行代码我们简单分析一下。用post传参即可获得flag。据此我们可以构造pyload。
2024-10-17 15:59:33
181
1
原创 [SWPUCTF 2021 新生赛]pop
因为两个值是私有和保护属性,在反序列化是会用不可见字符进行特殊标记,用url编码可以直接显示出来。进入到里面之后看到几行代码。知道是关于反序列化的和pop链的构造,我们可以这么构造poc链。这里我简单分析一下代码。
2024-10-17 13:32:16
397
原创 [SWPUCTF 2021 新生赛]no_wakeup
简单来说就是要绕过_wakeup,当使用反序列化时会自动调用_wakeup函数。从这段代码中我们可以看出这是一段让我使用反序列化的一道ctf的题目。对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。我们可以这样构造pyload。我们简单分析一下代码的意思。打开之后出现一段代码。
2024-10-16 20:27:47
234
原创 ctf.show-web14
进去以后发现是一个switch循环需要传参c,有四种结果,"@A@",$url,'@A@',"$url",这里我们直接传参3就可以了,因为在php中单引号包括的内容被当作纯字符的所以前两个没啥用,因为switch运行要遇到break才会停止,所以输入3以后会继续运行case6000000,然后显示出$url中的内容。打开后台发现将information_schema.tables和information_schema.columns禁了。随便试了几下发现不能运行怀疑将空格禁了,/**/绕过,爆库名。
2024-10-10 19:57:23
280
原创 ctf.show-web13
先上传.user.ini文件中的内容, 文件中内容是auto_prepend_file=1.txt。函数这行代码时,它会打印出当前目录下所有文件和目录的列表。auto_prepend_file将文件内容包含在每个脚本执行之前执行。auto_append_file将文件内容包含在每个脚本执行之后之后。.user.ini文件是一个可选的配置文件,它允许开发者和用户在不修改主。函数用于显示一个文件的内容,同时对 PHP 代码进行语法高亮。文件的情况下自定义 PHP 设置,可以覆盖或添加全局。
2024-10-07 19:57:00
596
原创 攻防世界-wife_wife
avaScript原型链污染是指攻击者通过某种方式修改或添加JavaScript对象原型的属性,导致影响到所有基于该原型的对象实例。这种攻击可以使得攻击者能够访问或修改原本不应该被访问的数据,或者在某些情况下执行恶意代码。发现了一个flag提交不了显然这是一个假的flag的。没什么头绪,看了大佬的wp才知道是javascript原型链污染。随便输了一个密码和账户,发现不可以,有一个注册管理员账户的,随便输了一下就好了,然后登陆进去。对象,导致攻击者能够通过构造恶意的对象输入来污染原型。
2024-09-28 20:43:58
968
原创 web.show.ctf
SESSION[‘password’]):检查用户输入的密码是否与会话变量 $_SESSION[‘password’] 中的密码相同。使用正则表达式 /(select|from|where|join|sleep|and|\s|union|,)/i 来匹配SQL注入攻击中常用的关键字和符号。password))):检查用户输入的密码 $password 的长度是否与删除了特殊字符后的密码长度相同。如果长度不同,说明用户输入的密码包含了被正则表达式匹配的关键字或符号。我们按f12打开开发者工具。
2024-09-27 12:27:23
1636
原创 [SWPUCTF 2021 新生赛]ez_unserialize
分析一下代码,error_reporting(0) 关闭了错误提醒 show_source("cl45s.php")显示当前文件源码,class wllm 定义了两个公共属性admin和passwd,以及一个构造函数_construct和一个析构函数_destruct(),定义了admin的初始值user和passwd的初始值123456。运行得到O:4:"wllm":2:{s:5:"admin";
2024-09-27 10:10:24
391
原创 [SWPUCTF 2021 新生赛]easy_sql
回显了ok找注入点,?wllm=1'order by 3 --+ ok 发现字段数为三联合注入试试。wllm=-1'union select 1,2,3 --+ 发现回显位在2,3。打开发现一个杰哥图片打开源代码查看发现参数是wllm。然后看看test.tb有哪些列,发现了flag和id。找到回显位之后爆库, 找到库名test_db。然后试着注入一个参数wllm=1。然后再报表找到两个表名。
2024-09-27 10:09:51
498
原创 [SWPUCTF 2021 新生赛]jicao
highlight_file('index.php')显示index.php的内容。id通过post传参,json通过json_decode函数将通过json的参数解码为php数组。如果解码成功将结果储存在$json中。后面就是传参id和json,用post方式传参id,用get方式传参json。打开题目就是几行代码先审计一下。
2024-09-27 10:09:35
345
原创 [SWPUCTF 2021 新生赛]babyrce
分析一下代码,关闭了错误提醒,get参数是url,将空格禁了。根据题目提示存在着RCE系统漏洞。使用$IFS绕过,url=ls$IFS/fl*flag找到了NSSCTF{3db0aedd-7966-46fc-b417-cf53f775f154}当cookie值admin=1时会执行包含next.php下的php文件。error_reporting(0)不会显示报错信息。ok找到了看看是不是,url=cat$IFS/fl*打开hackbar传参cookie值admin=1。打开题目先代码审计一下。
2024-09-27 10:09:08
167
原创 [SWPUCTF 2021 新生赛]easy_md5
分析一下代码, name 不等于password ,namd,md5值和password,md5值相等。get传参name,post传参password。($name) == md5($password) 属于MD5绕过中的php == 弱类型绕过。get传参name[]=1,post传参password[]=2。
2024-09-27 10:08:05
769
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人