gongjingege的博客

下载下来，发现是.gz压缩解压再重命名，解压两次得到两张图片用stegsolve组合图片得到flag唉，开学了，好烦啊2020.8.31 公瑾

下载附件后，stegsolve打开，转换色道得到一张二维码，保存后,QR research扫描二维码得到一连串hex编码，扔到winhex里观察后发现，文件头03F30D0A，这个是.pyc文件（反编译）再Easy Python Decompiler反编译，打开后，得到源码# Embedded file name: test.pystr = [65,108, 112,104,97,76,97,98]flag = ''for i in str: flag += chr(i)pr

题目：reverseMe下载附件后，就有颠倒了的flag合着，真就reverse呗画图得到flag，这题水了啊2020.8.22 公瑾

不会吧，不会吧，你不会真的以为玩游戏就行了吧好吧，我也只是试了一下，就出来了，没啥花里胡哨的快乐，快乐就完了2020.8.22 公瑾

下载解压后，眼睛一瞪没毛病，老条形码了，扫它扫它得到了flag2020.8.18 公瑾

这道题应该放到新手区的，没啥讲的下载附件后，notepad++打开先观察，判断编码和进制转换，发现只有0-f的字符，推断是十六进制附上http://www.bejson.com/convert/ox2str/转文字后得到flag掌握判别十六进制的特点：0-f2020.8.18 公瑾...

下载附件后，解压，misc100winhex打开PK开头，而且有一个flag.txt文件，怕不是又是一个压缩包，包中之包后缀改.zip再次解压，需要密码。。。题目提示John the Ripper我这里已经有破解的，所以用的是ARCHPR下载安装教程链接：https://blog.youkuaiyun.com/weixin_40270867/article/details/83062134直接开搞，半秒。。。输入密码，解压后，打开flag.txt得到flag多掌握掌握这些小套路，见得多了

先普及brainfuck语言在做这道题前不知道这，费牛鼻子劲了下载附件解压后，记事本打开我星星你个大**如果有人告我这是加密的，信你个鬼然而，是我孤陋寡闻了直接在线解密http://ctf.ssleye.com/brain.html得到flag：flag{esolangs_for_fun_and_profit}2020.8.17 公瑾...

最简单的隐写术（差不多）下载后winhex打开，就直接给了。。。。还有，攻防评论区的小伙伴又交了一次智商税，没有flag{}，此处有坑啊

下载附件，解压后，打开是一张gif动图，因为没有下载ps啥的，直接在线分解的gif动图分解：https://tu.sioe.cn/gj/fenjie/差不离应该是ISCC到这啥也没有了，用winhex打开，看一下信息在最后发现了一串字符串，以为是b64，结果没解出来看了wp，才知道aes加密（第一次知道。。。），而ISCC就是密钥（其实题目也有提示aes operation secret）解密两次得到flag这个题题目就是提示，没看出来，蓝瘦了，铁子2020.8.17 公瑾..

下载附件重命名，zip解压（比rar解压出来的文件多，搞不懂这两个为啥）先打开to_do（打开顺序反了的话，得不到二维码）再与to拼接图片转换色道扫描二维码得到flag：NCTF{m1sc_1s_very_funny!!!}感觉做misc题得灵性，一道题好多解法，但你可能一种都找不到，尤其是大佬们的思路天马行空好比这道题，binwalk打开就直接有hint.txt了，还可以ps调高曝光度，得到二维码，还有Beyond Compare感觉评论区个个都是人才，说话又好听，懂得又多20

下载附件直接用stegsolve这个隐写术神器打开打开图片，一片空白下边的箭头，转换色道得到flag2020.8.16 公瑾

这道题在wireshark里找挺费劲的，我是在winhex里干的下载附件，解压后，winhex打开直接Ctrl+F，查找flag{（小技巧：查找加个括号）得到flag还有许多其他方法，这直接贴上评论区的方法吧，感兴趣的多试试2020.8.16 公瑾...

题目描述：黑客通过wireshark抓到管理员登陆网站的一段流量包（管理员的密码即是答案)。 flag提交形式为flag{XXXX}下载附件后，解压，用wireshark打开是一个pcap数据包，看到登录应该找HTTP POST请求了查找http追踪tcp流找到了登陆密码所以，flag：flag{ffb7567a1d4f4abdffdb54e022f8facd}2020.8.15 公瑾...

modbus下载附件后，用wireshark打开直接查找flag无果，查找modbus右键，follow，追踪tcp流发现flag以为完了吗，这样想的自己去交智商税去点就不说了，关键是modbus，而给的是mdbus，吐了吐了所以flag：sctf{Easy_Modbus}2020.8.15 公瑾...

智商税，该交智商税了。。。64/4=16所以题目就是提示，base16解码下载附件下来后，记事本打开，一堆base16解码https://www.qqxiuzi.cn/bianma/base.php?type=16得到了flag2020.8.15 公瑾

这道题头都被打烂了。。。题目为upload，第一反应文件上传，一句话菜刀就行了，结果，结果是注入。。。（思维还是不灵活，脑洞还是不够大）打开题目，先注册，这里没有注入登录然后进入上传界面写个一句话木马，上传试了好几个，php，txt，都是文件扩展不对，只有jpg可以，应该是白名单过滤同时界面将文件名回显推测，将文件存入了数据库，显示文件名，当你输入查询数据库的语句时，是不是可以读取数据库那么，结合大佬的wp，将文件名构造成sql查询语句（这个思路骚气。。。）试着构造的时候，发现sel

题目描述：工控云管理系统项目管理页面解析漏洞打开靶机根据题目描述，点击项目管理点击view-source可以查看源码大概有三部分1，<?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') {

题目附件：。。下载下来，后面有用打开链接，大概就类似一个博彩网站吧(¬◡¬)✧先注册注册好之后，先随便买一波，看看什么情况应该是没亏的吧。。。除这个外，在claim your prize里发现了flag，但钱不够看下robots.txt提示是git源码泄露用githack扫描恢复源码（这里前面给的附件就是，少点麻烦）在buy的界面抓包，看下购买时的源码文件名api.php审计代码if(numbers[numbers[numbers[i] == winnumbers[win

打开题目链接出现了个登陆界面，随便试着登一下提示网站建设中，以为是sql注入，结果全是提示这玩意看一下robots.txt挨个访问一下hint.php给了一个文件路径，可能是文件包含方面的但是Hack.php自动跳转到登陆界面，题目不可能给没用的，抓包看一下将islogin改成1，就成为登陆状态，然后放包除了管理中心以外，其他的点击会跳转到登陆界面那就看一下这个管理中心url出现新的路径，如果admin访问正常，会please continue那么file，和ext文件扩展名，

题目描述：SQL题目链接有三个，登录，注册，主页可以看出这道题考察sql注入打开靶机链接，看到一个登陆界面有登录就可能有注册，url栏register.php先注册一个注册成功后跳转到主页，同时在主页显示用户名唔，鬼刀里的冰公主，品味不错，俺喜欢︿(￣︶￣)︿先试着在注册界面手注吧构造插入的注册语句payload：insert into tables values(‘email′,′0′+ascii(substr((selectdatabase())from1for1))+′0′,

打开链接代码审计，初步判断code传参获取flag，序列化绕过_wakeup()函数得到payload编写一个xctf类并序列化，运行代码得到payload ：O:4:“xctf”:1:{s:4:“flag”;s:3:“111”;}__wakeup()漏洞就是与整个属性个数值有关。当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行所以将1改为比1大的就行，code传参得到flag知识点：_wakeup()函数漏洞，反序列化2020.7.15 公瑾

下载附件，打开后一堆乱码开头是发现是一个搜索框，随便输入也没有反应，看了下源代码也是乱码，只能回去研究那堆乱码，这里代码不太懂，参考网上的，是eval没有执行$()函数，仅执行了字符串，导致乱码，因此页面只显示input标签的内容。可以将eval改为alert弹窗，显示完整的源码在这里将eval改成alert，在用浏览器打开发现弹窗中出现了完整的源码代码审计，要求是：1， 16个字符长度，2， ^表示开头一定要匹配到be0f23，$表示结尾一定要匹配到e98aa构造粗来 be0f233ac7b

打开题目链接查看源码，抓包都没有发现发现在url后加上index.phps源码泄露查看源码这里得会一点php语法要求admin不能等于get传过来的值，又要求在get传过来的值经过urldecode后等于admin所以payload: http://220.249.52.133:53098/index.php/?id=%2561dmin(get到id时，浏览器会对非ASCII字符自动进行一次urldecode自己再加一个urldecode，等于是两次第一次： %2561dmin变

burp suite抓包，sqlmap注入打开链接有一个搜索框，随意输入写数字，没有变化，用bp抓包试一下，也没有发现，看了看大佬的wp，才知道考sql注入。。。。看了下是post，所以然后保存在桌面，123.txt然后用sqlmap注入（这方面我也不太会。。。）1，查找数据库 -r C:\Users\123\Desktop\123.txt --dbs 发现有两个数据库推测应该是news2，查找news下的表 -r C:\Users\123\Desktop\123.txt --

打开链接到处点了点，发现只有题目描述里的报表中心可以点进去发现id=1，改了几个数字，发现页面没有变化，看了看源代码，用开发者选项也没有发现，试了试burpsuite抓包，也没发现啥到网上看了看各位大佬的wp，发现这个题得用burp suite爆破（触及到了我的盲区。。。），只能看着大佬的博客，一步步跟着来抓包后发送给intruder，查看target是否正确，导入字典点击右上角的start attack,开始爆破（发现我的字典里没有2333，刚开始没成功，在字典里加入后才成），点击length自

php_rce没有题目描述，直接打开链接看到这一脸懵，试了几种常用的方法，什么也没发现，于是从内容入手，百度一下thinkphp 5.0版本，发现这个版本存在远程执行命令的漏洞，对漏洞这方面不了解，网上查找一下这个版本的漏洞漏洞链接找到了payload/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls没有发现flag，于是

题目没有描述，但是从这个题的名字可以看出所讲的是robots协议这里讲的就是robots机器查询的标准和网站所允许检索的范围所以直接在地址栏/robots.txt在这里发现了flag的文件访问后得到flag2020.7.7 公瑾...

攻防世界web进阶区baby_web2020.7.6 公瑾题目描述：想想初始页面是哪个初始页面指index，在地址栏修改1.php改为index.php，发现还是hello world这时候可以用firefox自带的开发者选项发现index.php的文件，在消息头发现了flag或者用burp suite抓包将信息右键发给repeater将请求头改为index.php, go, 右边响应区发现了隐藏的flag参考文章：https://blog.youkuaiyun.com/zouchengzhi

SCTF题目描述：你只是在扫描目标端口的时候发现了一个开放的web服务打开链接是一个显示时间的页面dirsearch扫一下打开list页面抓包看一下看到JSESSIONID,得知是java web,读取配置文件web.xml考虑了一下会不会是sql注入看看源码，里边有个导入路径打开url会下载一张图片，但不能查看，notepad++看下源码这里struts2有另一个大佬的解释https://www.cnblogs.com/mke2fs/p/11519039.html然后

这道题是我不置酿力了…(｡•ˇ‸ˇ•｡) …打开题目链接，类似一个博客吧，注册，登录，回复，发表点了一遍链接，没发现啥，老老实实先注册登录吧登陆后也没啥变化，dirsearch扫一下试一下这个/users/admin.phpemmm随便点开文章，看见路径变化发现路径穿越漏洞（不懂），可以获得源代码有点多，查找flag<html><head> <link rel="stylesheet" type="text/css" href="/css/

打开靶场，出现登录框，SQL注入无果，老老实实注册注册成功，登录点击manage，显示要admin管理员考虑在findpwd里先修改自己的账号，bp抓包，改掉admin的密码bp抓包username改成admin，密码随便可以看到修改成功管理员新密码登录再次点击manageemmmm继续改bp抓包，X-Forwarded-For:127.0.0.1这个时候从源代码里看到，又给了个新的路径，do=???filename想到增删改查，多试几次，是upload上传文件，是一句话

打开链接，有三个链接地址挨个看一哈发现在url栏都是以.pl结尾，百度一下是perl编写的（很好，不懂）看一下源码，也没要求上传什么文件但是会把文件内容打印出来这里看大佬讲的是param()函数param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的接收变量中。如果我们传入一个ARGV的文件，那么Perl会将传入的参数作为文件名读出来。对正常的上传文件进行修改,可以达到读取任意文件的目的bp抓包将上传文件的代码复制，粘贴，删除filename=“”，加上ARV

打开链接给了好几个地址，到处点，全是一些文章（还是英文的）dirsearch扫一下或者robots.txt到admin.php里看一下试一下admin不行？看一下源码估计就不是从这上手了，那就login.php吧试一试sql注入报错，发现不是mysql，而是sqlite3（那这就难受了啊）查看源码url栏?debug=?debug出现源码泄露<?phpif(isset($_POST['usr']) && isset($_POST['pw'])

打开链接是一个类似博客的界面，有登录和注册，考虑sql注入，先注册吧注册后用户名可以点击会发现url栏/view.php?no=1，估计在这里注入，试了一下，存在注入点order by 4回显正常，5不行，所以4列用union select注入，但是被过滤了百度可以用/**/注释符绕过，no=-1 union/**/select 1,2,3,4#从unserialize()可以看出,数据保存时序列化，输出反序列化，显示在博客界面。还有文件的绝对路径/var/www/html/直

题目描述：工控云管理系统新添加的登录和注册页面存在漏洞，请找出flag。考虑是否存在注入漏洞只有三个地方可以点，登录，注册，忘记密码先注册普通用户登录没什么用，估计得管理员登录登录和注册页面没有注入点，就忘记密码测试后存在注入，1’or 1=1#绕过手工测试，后台过滤了一部分，直接union select，1’ union select 1,2,3,4#页面回显正常查询数据库1’ union select 1,2,group_concat(schema_name),4 fr

打开链接，查看源码代码审计看见了flask，考虑模板注入，@app.route后跟着路径，还有一部分过滤试一下/shrine/{{1+1}},回显为2，确实是sstiapp.config['FLAG'] = os.environ.pop('FLAG')注册了一个config，flag应该就在这里面，本来可以直接查看{{config}}，但后面代码存在过滤def safe_jinja(s): s = s.replace('(', '').replace(')', '')

题目描述：抓住那只猫打开链接刚开始以为是注入，但是发现好像都被过滤了试着输入了loli.club，页面没反应，输了下127.0.0.1到这也不知道这题是在考啥没办法，百度了下，是diango报错，是将输入的参数传到了后端的django服务中进行解析，而django设置了编码为gbk导致错误编码了宽字符（超过了ascii码范围）所以这里可以传递%80，url编码使用的是16进制，80也就是128，ASCII码是从0-127，所以这个时候会报错试着在报错页面找到一些信息发现文件的绝对路径是

打开链接看了看源代码，没发现啥，页面到处点点，只有设备维护中心可以进去再点了一下云平台设备维护中心，发现url栏?page=indexurl栏看见page，考虑文件包含漏洞读取index的源代码，参考大佬的wp，用php伪协议php://filterpayload：?page=php://filter/read=convert.base64-encode/resource=index.php得到一段base64，解码https://tool.chinaz.com/tools/base64.

题目有描述提示，tornado框架打开链接发现3个文件1，flag in /fllllllllllllag2，render，可能会是SSTI模板注入3，md5(cookie_secret+md5(filename))url中输入/fllllllllllllag，直接error用handler.settings对象拿到cookieurl注入**/error?msg={{handler.settings}}**根据hint，filehash值由md5加密先filename即/fl