- 博客(16)
- 收藏
- 关注
RSS订阅原创 pikachu靶场通关详解
首先我们随便写一个用户名个密码,然后点击登录,同时进行抓包然后发送到爆破模块添加payload位置,然后把字典放进去进行爆破开始攻击admin 123456 登录成功发现只要页面不刷新验证码就不会刷新,那么利用这个的话,用bp抓包爆破用户名和密码,但是验证码确没有改变,就可以成功登录。试一下。然后跟上一关一样开始爆破用户名和密码跟上一关是一样的这里我们发现输入错误的验证码时是js,也就是前段,前端是不能完全去验证你的验证码的,我们禁用js,就可以绕过验证码错误这种问题。然后用bp抓包爆破密码和用户名就可以成
2025-03-26 17:02:27
920
原创 upload-labs 靶场通关详解
发现是js拦截。禁用js,火狐浏览器,输入about:config后,找到JavaScriptenabled 把它的值修改为false即可。上传完毕后,每一关都需要看看是否上传成功,右键点击复制图像链接,然后访问发现是空白的,是正常的,这时看看能不能打开phpinfo();成功后是这个样子的注意:传入的x是你上传的一句话木马里面的,不然是传入不成功的。
2024-12-17 19:00:18
801
1
原创 [SWPUCTF 2021 新生赛]no_wakeup,[SWPUCTF 2021 新生赛]PseudoProtocols,[NCTF 2018]签到题
s:4:"wllm";这时我们要绕过 __wakeup这个函数,需要修改序列化字符串表示对象属性个数的值,即第二个数字。
2024-10-17 17:22:23
436
原创 nssctf[SWPUCTF 2021 新生赛]babyrce,[SWPUCTF 2021 新生赛]ez_unserialize
用bp抓包,我们添加cookie的值为1。得到了rasalghul.php这个文件,访问它。会检查$ip变量的值中是否存在一个空格。如果存在空格,就会执行函数将停止脚本执行,并输出消息 'nonono'。函数通过 shell 命令执行$ip变量的值并返回输出。它允许任何人通过 URL 查询参数运行任意的 shell 命令。这可能会导致严重的安全问题。总而言之,就是要传入url的值,并且不能有空格,那我们就用以下任意一个字符进行绕过。ls与ls /的区别:如果你只调用ls。
2024-10-16 20:14:18
1754
原创 nssctf[SWPUCTF 2021 新生赛]include,[SWPUCTF 2021 新生赛]easyrce
传入一个file之后,我们看见了一串php代码。利用php伪协议:?
2024-10-16 18:26:54
375
原创 nssctf[SWPUCTF 2021 新生赛]jicao,[SWPUCTF 2021 新生赛]easy_md5
首先代码审计,用post方式传入一个id,它的值要为wllmNB,用get方法传入一个json,同时会对他进行json解码,解码后值为wllm,则输出flag。我们来了解一下json对象。json对象的值只能为:数字(整数或浮点数),字符串(要用双引号包裹),(true 或 false),数组(在方括号中),对象(在花括号中),null (空)。
2024-10-15 19:55:24
827
原创 [SWPUCTF 2022 新生赛]1z_unserialize
输入payload:nss=O:3:"lyh":3:{s:3:"url";s:3:"lly";我们联想到命令执行函数,我们需要构造payload,如果能够把a换成system,lly换成cat,那么就可以进行命令注入。构造payload。得到flag:NSSCTF{934dfc44-3e21-47d8-b350-d0c932ffeab9}
2024-10-15 19:13:35
1468
原创 ctf.show_web4
这是一个文件包含漏洞,我们先用:/?url=/var/log/nginx/access.log 查看该网站的日志文件。这里没有截到,然后再查看该网页的日志文件时,发现多了一些东西。接着我们用bp抓包,并在User-Agent中插入一句话木马。然后我在www目录下找到flag.txt。接着我们用蚁剑连接。
2024-10-13 19:51:22
277
原创 【CTFshow】CodeInject
找到flag:ctfshow{228d1351-cab1-49dd-b650-2f5ca50471bd}system('ls /');发现了000flag.txt,查看这个文件。
2024-10-13 19:16:59
278
原创 【bugku】矛盾
先看代码,意思时get方式传入num的值,num的值要为1且不能为数字,显然这是矛盾的,当我们直接使num=1传入时,发现没有反应。所以我们让括号里为真,使num=1+字符 传入。得到flag:flag{60aa248a3d3f7b3722e3f1e81eda61bf}
2024-10-12 20:28:59
300
原创 [SWPUCTF 2021 新生赛]pop
得到flag:NSSCTF{4bf68f1d-d723-4b87-b276-c879abf826ef}我们要构造pop链,也就是反着来。最后将得到的结果传入。
2024-10-12 20:17:07
383
原创 [鹤城杯 2021]EasyP
原文链接:https://blog.youkuaiyun.com/qq_51295677/article/details/124237892。1.$_SERVE['PHP_SELF'],读取的是当前执行脚本的文件名,意思就是读取文件夹下的一个文件。想办法绕/utils\.php\/*$/i 以及/show_source/这个正则匹配。2.$_SERVER['REQUEST_URI'],是取得当前URL的 路径地址。我们用%88或者只要是可以造成乱码的url编码就可以绕过。首先,了解一下里面几个不熟悉的函数。
2024-10-12 19:07:12
502
原创 【攻防世界】Web_python_template_injection
1.先判断是否存在注入{{config}}.__class__''.__class____mro__3.4.发现<class 'site.Printer'>类。5.用python脚本最后得出index为716.执行指令7.读取fl4g这个文件。
2024-10-12 19:06:34
974
原创 [SWPUCTF 2021 新生赛]re1
从代码中可以看出,未知str1。在两个for循环中,把str1中ASCII码值为101(e)和97(a)分别换成了3和4,所以str1为{easy_reverse}接着把它拖到这里面去查看,发现它没有壳,且是64位的,我们用64位的ida打开。即flag为:NSSCTF{easy_reverse}把它的附件下载下来,发现是这样的。
2024-10-11 14:10:36
372
原创 [MoeCTF 2022]ezphp
首先进行代码审计,发现只能用echo回显flag。且代码中无论用post还是get传参都不能为flag,否则退出,所以要flag不被改变,要先把flag用其他值存储起来(任意)。fff=flag&flag=fff,找到flag。
2024-10-10 19:46:16
294
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人