- 博客(21)
- 收藏
- 关注
RSS订阅原创 XSCTF File System
摘要:本文总结了Flask框架存在的安全漏洞及利用方法。首先通过文件源码泄露获取app.py中的SECRET_KEY,利用Flask客户端Session可读特性伪造VIP权限。与Django不同,Flask的Session机制使该攻击可行。其次利用pickle反序列化漏洞,构造恶意__reduce__方法执行系统命令,实现远程代码执行。文章揭示了Flask的Session验证机制和反序列化漏洞的安全风险,并对比了不同框架的安全特性差异。
2025-11-24 17:38:27
324
原创 [GXYCTF2019]禁止套娃1
文章摘要:通过.git泄露发现PHP源码,审计发现存在严格的输入过滤机制。利用递归正则限制用户输入仅允许特定格式的函数调用。通过研究内置函数特性构造payload,成功绕过防护:highlight_file(next(array_reverse(scandir(pos(localeconv())))))。该payload通过层层函数调用获取目录列表并读取flag文件,展示了在严格限制环境下如何利用PHP内置函数链实现代码执行。(149字)
2025-09-21 09:56:51
971
原创 [BJDCTF2020]ZJCTF,不过如此
PHP代码安全漏洞分析摘要 这段PHP代码存在多个安全漏洞: 条件绕过:通过data://text/plain,I%20have%20a%20dream绕过file_get_contents检查。 文件包含漏洞:利用php://filter读取next.php源码(Base64编码)。 代码执行漏洞:next.php中的preg_replace使用/e修饰符,导致任意代码执行,可通过cmd参数执行系统命令(如cat /flag)。 最终利用链:结合伪协议和正则匹配触发getFlag()函数,实现RCE
2025-09-10 12:41:15
890
原创 [BJDCTF2020]The mystery of ip
点开页面,点进flag,发现页面回显自己的IP,联想到X-Forwarded-For可以传入IP。抓包,并没有发现X-Forwarded-For,自己添加并且修改,发现页面回显更改为修改的数。尝试一下,发现回显为49,确实是twig(不是Jinjia2)有可能在这里注入,利用到SSTI漏洞(twig模板注入){{ }}中的东西将会被直接拼接且执行。然后cat /flag就好了。1,学到了SSTI模板注入。2.XFF也可以存在注入点。
2025-09-09 22:21:05
349
原创 [网鼎杯 2020 朱雀组]phpweb
本文分析了PHP中一个具有潜在安全风险的Test类。该类通过__destruct()方法实现自动执行功能,默认用于显示当前时间(date函数)。研究发现,通过反序列化攻击可修改$func和$p参数,将原本的时间显示功能转变为执行任意系统命令(如system函数)。攻击成功的关键在于:1) 理解PHP反序列化机制;2) 掌握Linux系统命令;3) 熟悉PHP特殊函数特性。文章揭示了该类的设计缺陷:__destruct()方法未对执行内容进行安全检查,导致功能被恶意利用。
2025-09-08 23:51:38
545
原创 [网鼎杯 2018]Fakebook1
摘要:通过分析一个网站的注册和博客功能,发现存在SSRF漏洞和SQL注入漏洞。网站要求博客内容必须包含".",经robots.txt文件发现user.php备份文件。利用SSRF漏洞通过file://协议读取系统文件如/etc/passwd。注册账号信息存储在数据库中,测试发现存在数字型SQL注入,union select被过滤但可用union/**/select绕过。确认回显位置为第2个字段,共4个字段,可进一步利用爆数据库名和表名。
2025-08-17 22:52:58
160
原创 [BSidesCF 2020]Had a bad day
关键信息:必须包含meowers/woofers/index 才可以传参。主要是我们想看这个网页可能利用到的漏洞,它使用的安全措施。这个时候又利用到了php://filter伪协议套协议。要想上传时候包含这些关键词,又要包含flag。2.参数后面在查询的时候会自动加上.php。1.可能是include本地文件包含漏洞。发现flag与woofers在相同的位置。index.php,为什么要访问?参数用category上传。随便更改一下,发现报错。
2025-08-17 16:36:53
439
原创 BUUCTF [RoarCTF 2019]Easy Calc
可以在num前面添加空格,这样waf就找不到num这个变量了,因为现在的变量叫“ num”,而不是“num”。但php在解析的时候,会先把空格给去掉,这样我们的代码还能正常运行,还上传了非法字符。发现1.存在WAF 2.通过get传参,url是calc.php?scandir()函数:返回指定目录中的文件和目录的数组。var_dump():输出变量的相关信息。2.将某些字符转换为下划线(包括空格)发现黑名单,这些都会被过滤。
2025-08-15 22:33:34
138
原创 [CISCN2019 华北赛区 Day2 Web1]Hack World1
其他东西可能出现bool(false)或者在黑名单里面。了解到简单布尔盲注并且用脚本实现爆破。试了1,2,之后的就不行了。
2025-08-15 20:54:23
122
原创 [极客大挑战 2019]HardSQL1
这道题目注入点可以是用户名,也可以是密码,简单试了几个万能密码和注入语句发现都在黑名单里面,于是开始检测还有什么可以用(fuzz)看了response,804是可以用,789是在黑名单内的,因此联合注入,直接查行不通,看到可以用updatexml与extractvalue函数可以用,那这题应该是考察简单摘要关于两个函数的一部分知识点。
2025-08-14 22:29:50
1371
原创 [GXYCTF2019]BabySQli
但是pass那里我们怎么尝试都无法成功,看源代码以后发现原来是在pw处输入的密码会被md5加密然后与库中数据比对,那么我们只要将这个密码md5加密然后短暂储存这条数据(用union select)即可。那想要登录进去,只要知道一个存在的用户名,然后用union select构造一条虚拟的数据,密码任意,然后登录即可。看到加密字符串,全部大写英文与数字,应该是base32,解码以后出现等号,那就是base64再解码一次,发现。点进来以后发现注入点,但是不知道是上面的还是下面的,抓包。
2025-08-14 13:09:49
231
原创 [ZJCTF 2019]NiZhuanSiWei
第一步 通过text传入welcome to the zjctf,通过get传参,由file_get_contents()函数检查,===PHP强比较,类型和值都要相等。php://filter是一种元封装器,是PHP中特有的协议流,设计用于数据流打开时的筛选过滤应用,作用是作为一个“中间流”来处理其他流。第二步 查看useless.php里面的提示,发现file直接传参可能被过滤,此处利用。php://filter可用于读取包含有敏感信息的PHP等源⽂件,使用。php://filter伪协议绕过。
2025-05-13 19:12:19
497
原创 BUUCTF [极客大挑战 2019]BuyFlag
此处我们选择添加 Content-Type: application/x-www-form-urlencoded。其实简单来说,就是原先由于输入的是数字,会被进行比较是不是过大,如果用数组传数字,可以避免比较由此可以传入大数。直接发送,由于user不对,得不到flag。需要password不知道是什么,看源码。修改cookie:user=1。传入money太长,两种选择。解决2可以利用弱等于的漏洞。传参要注意post传参方式。1.科学计数法1e10。
2025-04-22 14:43:29
447
原创 [ACTF2020 新生赛]BackupFile
会先将字符串转化为整数然后再进行比较。比如a=123和b=123admin456进行= =比较时。则b只会截取前面的整数部分。用dirsearch扫描出来 /index.php.bak。提示BackupFile,备份文件,可能又涉及代码审计。重点是让传参key==str。= = 为弱相等,即当整数和。
2025-04-08 15:42:58
549
原创 BUUCTF [极客大挑战 2019]BabySQL
爆列:check.php?爆表:check.php?那我们采用双写绕过,这里直接构造的时候多构造几次,最后发现ununionion selselectect可以check.php?爆库:check.php?
2025-04-01 20:08:33
667
原创 BUUCTF [ACTF2020 新生赛]Upload
又是文件上传漏洞,不过这次我们直接尝试上传后缀名为 .phtml 的文件发现上传失败,试图在上传的时候抓包,仍然不行,我们把数据包send to repeater,修改16行那个filename后缀为phtml。尝试直接修改源代码,失败,网上看了很多方法比如火狐插件java script修改,但是好像都不行。,看了一下页面源代码,确实是这样的。2.还没有搞懂怎么修改前端源代码,回去再研究研究。回到根目录,找到flag文件夹就ok。然后打开蚁剑,添加数据,连接即可。,绕过以后再抓包,在数据包里面。
2025-03-31 16:57:02
356
原创 BUUCTF [极客大挑战 2019]Upload1
脚本风格与简写风格可以绕过,但是煮波试了<% %>发现不行,看到大佬温馨《提醒如果使用简写风格或者ASP风格,则应该在php.ini配置文件中修改如下配置,把这两个参数都设置为On,考虑到这两种风格的移植性较差,通常不推荐使用。最开始查的时候查到将一句话木马插入图片的方法,后来发现可以直接写一句话木马然后用burpsuite抓包的时候再修改数据包,进行绕过。直接地址+/upload+/(上传文件名),连接成功,找到flag。打开以后发现有文件上传的地方,不难看出是文件上传漏洞。还是不行,发生了什么?
2025-03-30 17:44:18
925
原创 BUUCTF [极客大挑战 2019]Knife
下载很顺利,但是打开连接的时候报错code":"ECONNRESET","errno":"ECONNRESET","syscall":"read"最后发现是煮波的校园网问题,换成流量还是不行,哦,原来手机连的也是校园网,关了以后就好了。于是想到使用工具,但是中国菜刀这个工具没下载成功,于是下载了蚁剑。排除了防火墙的问题(ping可以通),又排除了代理问题。发现校园网的不可靠性,下次解决问题先关校园网;在目录里面找到flag,成功!点进来发现一句话木马。学习到中国蚁剑用法;
2025-03-30 10:47:18
339
原创 BUUCTF [极客大挑战 2019]Http
如 比 从 网 页 /icconcept/index.jsp 中 点 击 一 个 链 接 到 网 页/icwork/search , 在 向 服 务 器 发 送 的 GET/icwork/search 中 的 请 求 中 , Referer 是从http://hostname:8080/icconcept/index.jsp。Cookie 是在浏览器中寄存的小型数据体,它可以记载和服务器相关的用户信息,也可以用来实现会话功能。:指出浏览器可以接受的语言种类,如 en 或 en-us,指英语。
2025-03-29 11:16:57
1632
原创 BUUCTF [极客大挑战 2019]Secret File
语句:php://filter/convert.base64-encode/resource=文件路径。想了解过程中发生了什么,我们用burpsuite抓包,然后把包send to repeater。点击按钮发现迅速跳转至最后的结果,但是看起来题目应该是在网页的跳转过程中隐藏了信息。在这里感觉是隐藏了源码,怀疑是源代码被当成php文件执行了。煮波看到flag.php很高兴地访问,结果一无所获。base64解码得到原来的网页源码,找到flag。首先打开网页,没有什么有用的信息,查看源代码。
2025-03-29 10:17:36
422
原创 [强网杯 2019]随便注
可以先用burp suite看看有哪些字被过滤,发现select不行。然而尝试1' union select 1,2#发现被过滤了。不难发现是字符型sql注入,尝试联合注入,发现库名。当1' order by 3#时候报错。show tables#学到了sql内置函数预编译的用法。表名里面一大串数字那个就是。查到了一种叫做预编译的东西。使用了burp发现过滤词。(借鉴了知乎大佬的文章。
2025-03-28 07:46:39
516
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人