- 博客(20)
- 收藏
- 关注
RSS订阅原创 polarctf之web 简单(4)
查看页面源代码猜测这可能是admin的密码先注册一个用户登录账号查看用户列表,代码逻辑要求且时输出$user通过数组类型进行绕过,得出若干个用户名进行爆破,得出用户名,登入admin页面,发现是一个文件上传查看源代码,可知允许上传文件的类型上传木马获得flag文本爆破得出真正flag的值。
2025-09-08 17:59:28
535
原创 polarctf之web 简单(3)
parse_str($id)解析id参数,但未初始化变量数组,导致变量覆盖。当传递id=a[0]=www.polarctf.com时,parse_str会将a[0]覆盖为www.polarctf.com,使$a[0] == 'www.polarctf.com'条件成立。通过构造id参数,发现页面下存在flag.php文件代码使用 shell_exec 执行 ping 命令,其中拼接了 $a[0] 和 $ip(来自 cmd 参数)。由于 $ip 未经过滤,可以通过命令分隔符注入任意命令。
2025-09-05 19:53:51
1079
原创 polarctf之web 简单(2)
输入姓名提交后,出现一下页面用伪协议进行读取解码得到php代码phpif($name){?漏洞点在于`include($_GET['file']):这里直接使用了用户输入的`file`参数,没有进行任何过滤或验证。这可能导致本地文件包含(LFI)或远程文件包含(RFI)漏洞。查看session文件并上传木马用蚁剑连接。
2025-09-04 16:34:43
460
原创 polarctf之web 简单(1)
发现参数c受到严格的正则表达式过滤,但允许大写字母(如"GLOBALS")通过,因为过滤规则仅针对小写"flag"和其他特殊字符。,从而输出所有全局变量,包括$flag变量中的值。猜测http://4561c7ca-74e2-40d6-9984-b0ee8fb196e8.www.polarctf.com:8090/index.php.bak页面下的数据可能是密码。str_replace('../', '', $file) 仅替换一次 ../,可通过双写绕过(如 ....// → ../)。
2025-09-03 15:31:07
369
原创 polar ctf靶场web之命运石之门
代码中的注释是中文,并且使用了base64编码的文本(5pyJ5peB5YCZ77yM6aqM6K+B56CB5piv5ZCm5aW95L2/5LiN6YeN6KaB),解码后是“有时候,验证码是否好用不重要”。获取密码hunangleiSAMA0712,登录后继续对密码进行爆破,最终获得flag值。3.使用bp对密码进行爆破,将刚刚得到的密码文件复制到payload中。发现存在一个密码文件,里面存放的都是一些密码。2.查看该URL下是否存在可以访问的文件。
2025-06-13 20:57:18
265
原创 polar ctf靶场web之狗黑子的RCE
构造gouheizi2为gougouheiziheizi,原始字符串:gougouheiziheizi,删除中间的gouheizi,剩下gou(开头)和heizi(结尾),组合为gouheizi。由于禁止命令中存在flag和cat,于是构造gouheizi1=c\at /f\lag.php,从而获取flag.php文件的内容。通过POST参数gouheizi2的字符串替换检查以及通过GET参数gouheizi1的命令注入过滤。2.绕过 gouheizi2 的替换检查。
2025-06-13 17:35:37
499
原创 polar ctf靶场web之渗透之王
4.在给定的URL的登录页面如下图所示:尝试用户名admin,密码admin,结果发现密码错误,说明用户名正确。7.进入upload.php页面,上传木马图片,发现成功上传,上传后的地址为./uplado/2.png。解开压缩包后发现里面有一个index.php.bak文件,内容如下图所示:猜测文件内容可能是密码。3.根据步骤2得出的结果,猜测可能是压缩包的密码,于是下载压缩包。6.进入admin页面后,查看源代码发现有两个php文件。解码后得到的结果是:polarctf。然后登录蚁剑拿flag。
2025-06-08 21:11:42
448
原创 polar ctf靶场web之简单的链子
可以构造恶意的序列化对象,当该对象被反序列化时,会实例化类A并设置$cmd属性为任意命令。由于析构函数会自动执行system($this->cmd),这将导致任意命令执行。析构函数中的system($this->cmd)允许执行任意系统命令。攻击者通过控制$cmd属性的值,可以执行恶意命令。尝试去查看根目录下是否存在flag文件,继续构造恶意的序列化对象:class A{public $cmd="ls /";能够发现当前页面存在如上图所示的一些文件和目录,但没有发现flag文件的存在。
2025-06-08 20:20:40
454
原创 polar ctf靶场web之非常好绕的命令执行
只允许可见字符:ctype_graph($evil)(ASCII 33-126的字符,如字母、数字、符号)想输出flagggg,结果发现什么都没了,才发现!rm -rf /');将三个变量 $args1、$args2、$args3 与括号拼接,最终生成形如。将空格使用“<”替代,< 符号:在Linux中表示输入重定向,):尝试闭合PHP代码块或注释后续代码,以避免语法错误。的字符串,很难进行利用,可以利用注释符。查看到了此路径下有何文件。(2)利用注释符//
2025-06-04 13:49:30
336
原创 polar ctf靶场web之jwt
JWT(JSON Web Token) 是一种基于 JSON 格式的开放标准(RFC 7519),用于在各方之间安全地传输声明(claims)。打开http://4ccb360f-a314-46a8-9b9d-b0759e96fee6.www.polarctf.com:8090/发现上图出现登录和注册两个功能,首先注册一个新用户。(6)将原本的JWT值替换成新的JWT值,然后点击个人中心,能够发现flag((5)更改username为admin,然后进行编码,获得编码好的JWT值。(1)注册一个新用户。
2025-06-02 21:13:01
867
原创 polar ctf靶场web之注入
时,如果应用程序未对输入进行充分过滤或参数化处理,该输入可能被直接拼接到SQL语句中,导致语句变为SELECT * FROM table WHERE id = '']|//*|//*['。SQL注入是指攻击者通过操纵输入参数(如id)来篡改后端SQL查询,从而执行恶意操作(如数据泄露、数据篡改或数据库接管)。假设原SQL查询为SELECT * FROM table WHERE id = '用户输入的值'。(2)发现URL中所带参数是id=1,尝试修改id的值,如图:发现id是一个注入点。
2025-06-01 20:19:41
498
原创 polar ctf靶场web之PHP是世界上最好的语言
但是由于.会被过滤了,无法正常读取flag.php了,所以使用sys=echo $flag直接输出flag这个变量。_POST[flag1]=8gen1&_POST[flag2]=8gen1,不但绕过第一个if语句,而且还满足第二if语句。和$GLOBALS['flag2']=8gen1参数,这可能不是必要的,并且可能引入额外的复杂性。当flag1和flag2均为'8gen1',且存在504_SYS.COM参数时,检查$c的内容。和$GLOBALS['flag2'],等价于$flag1和$flag2。
2025-06-01 20:11:59
525
原创 polar ctf靶场之写shell
php exit();的有效 Base64 字符:p, h, p, e, x, i, t(共 7 个),填充 1 个 Base64 字(如 a),使总有效字符数为 8(满足 Base64 解码的 4 字节对齐)。要绕过文件写入时的限制(file_put_contents 在内容前添加 <?php exit();),可以利用 PHP 的过滤器(php://filter)配合 Base64 解码破坏前缀的 PHP 代码结构。具体来说,它从GET参数获取文件名,从POST参数获取内容,并在内容前面加上`"<?
2025-05-31 21:28:15
421
原创 polar ctf靶场web之到底给不给flag呢
当 $_POST['flag'] = 'flag' 时:触发第二个条件 $_POST['flag'] === 'flag';所以正确获取flag的方法是使用GET,需要通过GET请求传递两个特定参数来恢复原始flag值。如果请求中既没有GET参数flag,也没有POST参数flag,则输出$qwq并退出。如果POST或GET请求中的flag参数值等于'flag',则输出$QAQ并退出。执行 exit($QAQ),直接输出"我又不想要flag了,滚吧"
2025-05-31 21:06:59
439
原创 polar ctf靶场web之swap
页面下方显示的“.swp file?所以这个正则表达式匹配的是任何包含“sys”后面跟着任意字符(包括换行符),然后是“nb”的字符串。代码定义了一个名为`jiuzhe`的函数,参数是`$xdmtql`。函数内部使用`preg_match`进行正则匹配,模式是`/sys.*nb/is`,其中。== false`,即输入中包含精确的“sys nb”字符串(区分大小写)。`i`表示不区分大小写,`s`表示让`.`匹配包括换行符在内的所有字符。strpos检查的是严格的小写的'sys nb'是否存在。
2025-05-30 13:22:27
790
原创 polar ctf靶场web之简单rce
RCE(Remote Code Execution,远程代码执行) 是一种允许攻击者通过远程网络请求,在目标服务器或应用程序中执行任意代码的安全漏洞。列出根目录下的目录以及文件,再让sys=readfile('/flag');条件判断:仅当通过GET传递参数sys且POST参数yyds值为'666'时,才会执行eval(no($_GET['sys'])),否则输出"nonono"。过滤函数:no() 函数通过正则表达式过滤输入,若检测到敏感关键词(如命令执行函数、常见命令行工具、空格),则终止程序。
2025-05-30 13:05:45
900
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人