- 博客(72)
- 收藏
- 关注
RSS订阅原创 Yunxi期中
这里总结一下常见的工控协议目的是眼熟罢了,至于大多数的ctf题型都是ai总结的我也不太懂看了个大概,这边感兴趣可以自己详细了解,今天我只了解下IEC。两张图片分为步骤一二,提示说像素圣战了,来参考看到题目,需要密码解二进制,正好两张图片分两步,第一个试了好多图片隐写都不是,提取盲水印。看着是文件上传,但是试了几个都不行,上传.htaccess文件再上传一句话木马,但是过滤php标签,就换成html标签。搜过滤器,我那个有带你麻烦,直接看张大美人的过滤 iec60870_asdu。
2025-05-31 03:09:55
819
原创 ssti刷题
解析了,存在ssti注入,{{config["\x5f\x5fclass\x5f\x5f"]["\x5f\x5finit\x5f\x5f"]["\x5f\x5fglobals\x5f\x5f"]["os"]["popen"]("ls /")["read"]()}}用这个根payload可行编码前是{{config["__class__"]["__init__"]["__globals__"]["os"]["popen"]("ls /")["read"]()}}
2025-05-11 04:34:16
577
原创 【无标题】
Smarty的{if}条件判断和PHP的if 非常相似,只是增加了一些特性。每个{if}必须有一个配对的{/if}. 也可以使用{else} 和 {elseif}. 全部的PHP条件表达式和函数都可以在if内使用,如。如果config,self不能使用,要获取配置信息,就必须从它的上部全局变量(访问配置current_app等)。pop() 函数用于移除列表中的一个元素(默认最后一个元素),并且返回该元素的值。flask SSTI的基本思路就是利用python中的魔术方法找到自己要用的函数。
2025-05-10 00:58:00
837
原创 文件包含学习
其实就是将常用的代码单独写到文件里放到一个位置,到时候用的时候直接用函数(以PHP为例include(),require(),include_once(),require_once(),这里注意require是找不到包含文件脚本停止,includ是找不到警告后脚本继续运行)调用,但是由于对包含文件内容审查不清楚,可能该位置文件被替换成恶意文件导致造成漏洞,这里要知道被包含的文件后缀随意,只要内容是php代码就能解析。
2025-05-09 00:39:02
602
原创 文件上传刷题
但问题是后缀只能是jpg,改不了php,怎么用php解析?所以考虑文件包含,除了平时多说.htaccess绕过,还有一个可使用范围更广的.user.ini。.user.ini你改过以后,可以让你用目录里存在的正常php文件,包含任何格式的文件,去用php解析。然后抓紧时间上传shell.jpg ( 内容头绕过+js写马+图片马jpg后缀的shell.jpg)打开靶场是上传,先上传裸马,被拦截.尝试MIME绕过:文件后缀改为jpg,Concent-type。之后用蚁剑连接上传好的jpg马,就ok了。
2025-04-27 03:28:32
381
原创 文件上传详细版
文件路径过滤不严格,可能通过遍历目录来获得文件,也可能通过文件上传对重要文件案进行覆盖,还可能对文件拓展名和文件类型过滤不严格,可以上传任意文件到web公开目录上,进而远程控制服务器。
2025-04-25 02:24:31
877
原创 rce绕过
如果页面中存在这些函数并且对于用户的输入没有做严格的过滤,那么就可能造成远程命令执行漏洞。rce:调用可以执行命令的参数,参数可控没有过滤。1、过滤关键字,如过滤 cat,flag等关键字。使用空变量$*和$@,$x,${x}绕过。1.利用系统函数实现命令执行的函数。2.直接执行系统命令的代码函数。反引号绕过cat 'ls'4、面对过滤绕过方法。
2025-04-12 23:59:27
123
原创 RCE之无字母数字RCE
单词字符(\w):大小写字母 (a-z, A-Z)数字 (0-9)下划线 (_)非单词字符(\W)是上面以外的任何字符,例如:标点符号(如!, @, #)空格、换行符其他非字母数字的字符。
2025-04-12 02:52:22
851
原创 sql——宽字节
GBK 是占两个字节(也就是名叫宽字节,只要字节大于1的都是)ASCII 占一个字节PHP中编码为GBK ,函数执行添加的是ASCII编码,mysql默认字符集是GBK等宽字节字符集宽字节的出现个人感觉是因为SQL语句过滤了一些字符,比如 ’ 转义成 /’ 或者 " 转义成 /"在这种情况下就不容易完成注入,所以出现了宽字节注入,通过宽字节绕过转义字符。
2025-04-11 01:06:57
395
原创 文件上传漏洞
对文件上传路径变量过滤不严,并且对用户上传的文件后缀以及文件类型限制不严,攻击者可通过 Web 访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器。
2025-04-05 15:05:21
977
原创 SQL注入重新学习
sql注入一般就是构造闭合,在查询语句中构造恶意语句,因为过滤并不严格导致信息泄露,后台登陆语句:SELECT * FROM admin WHERE Username=‘user’ and Password=‘pass’万能密码:‘or ’1‘ = ’1‘ #;sql常用函数:(1)user() 返回当前使用数据库的用户,也就是网站配置文件中连接数据库的账号(2)version() 返回当前数据库的版本。
2025-04-04 23:54:45
920
原创 日报日报流量分析
快捷键Ctrl+K,选择需要抓包的网卡 Ctrl+F可以进行关键字搜索 Ctrl+M,标记数据包Ctrl+Shift+N跳到标记处查看包有多少协议Protocol Hierarchy(协议分级)搜了一下TCP协议,是互联网最基本的协议,分为4层,了解了一下tcp协议,具体请看谁和谁进行了通信: Conversations。
2025-03-29 23:40:06
880
原创 sql66666666
输入admin显示user agent信息,尝试通过user agent进行注入当时不理解为什莫后面要加一个and语句 ,搜了一说sql语句后面可能还有其他结构,直接把后面注释掉可能导致语法错误,and '1'='#'使得#更像合法语句,顺理成章地把后面注释掉有回显,构造报错注入,爆库,后面按照常规构造语句就行了。
2025-03-28 23:51:28
552
原创 Docker逃逸
账号密码:在etc/shadow(:前面的是密码)没密码的用不了,将特权账号密码写进去,下图给了123456的加密后的密文直接写入。特权模式以后如何逃呢:在特权模式下docker容器将被允许访问主机上的所有设备,并可以执行mount命令进行挂载(挂载。首先进入 tmp目录下,创建一个文件夹,将/dev/sda1(真正系统的磁盘)挂载到创建目录下。许多系统不允许root账号登入,因为权力太大了,先创建一个普通账号并登录,然后再切换为root。windows的账号密码一定在目录下,查看ect/passwad。
2025-03-22 23:48:33
468
原创 日志2333
1、时间盲注:根据页面的响应时间来判断是否存在注入,联合(页面没有回显位置),报错(页面不显示数据库报错信息),布尔(s/f都只显示一种结果)都不行的时候考虑,if (1>0,'ture','false');--输出‘ture’ /if (1<0,'ture','false');select ascii('')/select ord('')返回字符串第一个字符的结果。无论输入id=1/id=1'/id-1"全部不报错没回显,考虑时间盲注。转了5s,通过这种界定,逐个试,是115,最后得出security。
2025-03-22 23:48:11
336
原创 sql-labs
sql注入的目的是为了破坏sql语句结构,有三种参数类型,字符型(就是一个字符1或者a之类的),字符串(“hellow之类的”)型,数值型,前两个有闭合,注释符号有# --(空格) --+[(空格)转换为20%#转换为23%]有回显,说明参数是字符型单引号闭合,尝试爆字段当输入order by 4的时候报错,说明存在3列,而且就然能报错说明将语句解析执行了,说明存在注入点(order by是对列进行排序的意思)联合查询,前面报错后面插入恶意语句,得到回显位2,3 (显示数据库查询结果)
2025-03-20 23:45:55
652
1
原创 2025春季开学考云曦复现
代码审计$g是$a$b的拼接,正则匹配,if成立将$g赋值给$key,不含有则继续执行if语句,有..flag则die,没有就将$b赋值给$gg,如果$gg正则匹配成立,就将$gg倒叙赋值给$ggg截取$ggg中的第8位截取四个,因为最后提示是看看flag.php所以拼接$a为flag编码,后面给解码和$hhh拼接。代码审计发现绕过不了,上传图片🐎,靠我的图片🐎为什莫显示非法文件上传,算了,用的同僚给我的图片🐎,得了成功获取flag,啊啊啊啊啊啊啊啊啊臭狗屎,为啥老子自己的不行。
2025-03-15 00:38:33
653
原创 响应(Response)
在 Flask 中,视图函数可以返回多种类型的响应,例如字符串、HTML、JSON、文件等。Flask 提供了函数,用于生成和自定义 HTTP 响应。
2025-03-14 21:21:53
1042
原创 laravel Blade 模板引擎
Blade 是 Laravel 的默认模板引擎,Blade 模板文件使用.blade.php 作为文件扩展名,被存放在resources/views目录中,
2025-03-11 22:34:36
1224
原创 模板注入Smarty
是最流行的PHP模板语言之一,为不受信任的模板执行提供了安全模式。这会强制执行在 php 安全函数白名单中的函数,因此我们在模板中无法直接调用 php 中直接执行命令的函数(相当于存在了一个disable_function)但是,实际上对语言的限制并不能影响我们执行命令,因为我们首先考虑的应该是模板本身,$smarty内置变量可用于访问各种环境变量,:如等,用于访问 HTTP 请求中的 GET、POST、COOKIE 数据。:如等,用于访问服务器和环境变量。:如,用于访问配置文件中的变量。:如。
2025-03-08 15:35:13
937
原创 模板注入(Twig)
为了使用户界面与业务数据(内容)分离而产生的,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,再放到渲染函数里,生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。模板引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过。
2025-03-07 22:36:51
1274
原创 apload-lab打靶场
17.按理说这道题是先上传末尾有php代码的文件,保存上传图片,用010打开另存图片和原图片发现另存图片被渲染末尾的代码没了,那么通过比对,找到不被渲染的地方插入php代码上传成功即可,我不小的为什莫我上传的图片没有被渲染,这个牛逼。4.先上传.htaccess文件(在php的nts版本下面无法解析为php文件,.php5.6以下不带nts的版本)先上传一张正常的png另存地址到文件夹,在该另存图片末尾通过010添加相关php语句再次上传,构造geet传参访问。7.没有删除末尾的点,点绕过4.php. .
2025-03-02 16:35:40
982
原创 日志,建网站前知识学习
文本图像等</a>例:<a href="http://www.baidu.com">百度</a><li><a href="#">吃</a></li><li><a href="#">喝</a></li><li><a href="#">玩</a></li><li><a href="#">乐
2025-02-26 22:18:04
778
原创 云曦秋季考试复现
题目中说可能长宽高被修改,一开始想用搜索的其他方法比如用解码软件查看图片真实的长宽高然后再打开图片查看现在的长宽高,修改一下图片的码,还看了好多方法但是有点乱没搞出来,问了一下同学,题目中给了两张图直接用010查看编码,发现前几行不一样给替换掉。构造路径../../../capoo.php,然后根据提示猜测flag文件../../../flag.php。一开始以为是截图片的长宽高把flag截掉了,后来看提示让了解一下盲水印的工具下载后一提取就出来了。使用$IFS$9/绕过空格,输入?
2025-02-22 04:25:39
915
原创 upload-labs靶场
在抓包中把php改为php5或者php3等需要修改配置文件httpd.conf,在大概465行加入AddType application/x-httpd-php .php .phtml .php5 .php3,这里是设定了可以将后缀为php3,php5等文件也当作php文件执行。文件类型不正确,直接抓包修改上传的PHP的content-type为image/png。提示不允许上传.asp,.aspx,php,jsp后缀文件!再次上传出来一个图片,然后用post传参去查看。上传一句话木马不支持php格式。
2025-02-22 04:23:39
294
原创 zyNo.26
值,关键的关系式$out=\sum{state_i \times mask_i}$可改写为矩阵乘法形式$out=State \times Mask$State是 $1\times128$ 向量,Mask是 $128 \times 1$ 向量256轮循环最终输出。将传的参数进行base64编码,绕过base64_decode函数,在反序列化串的O:前加个加号“+”,绕过preg_match函数,修改反序列化串的对象属性个数,绕过wakeup。拼接part2:flag{UPX_4nd_0n3_4nd_tw0}
2025-02-22 03:16:25
896
原创 zyNo.24
三种XSS攻击类型的主要区别在于恶意代码的存储和执行方式:反射型XSS:即时反射,不存储,依赖用户交互。存储型XSS:持久存储,影响范围广。DOM型XSS:完全基于客户端,不经过服务器处理。
2025-02-13 20:53:41
928
原创 zyNo.23
一个数据库由多个表空间组成,sql注入关系到关系型数据库,常见的关系型数据库有MySQL,Postgres,SQLServer,Oracle等以Mysql为例,输入 mysql-u用户名-p密码 即可登录到MySQL交互式命令行界面。既然是数据的集合,我们要想操作这些数据就需要有一定的媒介和手段。比如,可以选择用图形化的工具(如Datagrip、Navicat等),也可以直接使用数据库管理工具自带的命令行(如MySQL自带了一个命令行的界面,Postgres亦然)。
2025-02-12 18:59:51
936
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人