worker..-优快云博客

原创 bugku-头等舱

根据题目提示，查看请求头试一下，得到flag，直接提交。

2024-09-26 20:52:08 256

原创 True XML cookbook

未成功获取到flag信息，试着探测内网信息，读取下系统内的配置文件信息看是否能发现有用的信息。随便输入admin，123456，然后抓包试一下。

2024-08-23 21:20:42 554

原创 [CSCCTF 2019 Qual]FlaskLight1

看到提示，需要用GET方search函数。

2024-08-21 17:06:20 264

resoponse为invalid string的关键字是被过滤的关键字，Length为493的关键字为未被过滤的关键字，其中如 and 和空格这样的关键字都被过滤了，extractvalue和updatexml这样的报错注入关键字未被注释，我们可以利用username进行报错注入了。我们也可以由此得出结论，页面存在二次注入的漏洞，并可以大胆猜测修改密码的源代码。我们利用报错注入查看数据库中的表名。changepwd.php修改密码。注册个admin账户，登陆进去。一个个点开看，没发现flag。

2024-08-19 21:36:48 234

原创 [Zer0pts2020]Can you guess it?1

打开题目看到信息随便输入一个数，显示错误查看源代码看到php代码，代码审计phpexit();} else {?= $message?>php }?

2024-08-17 16:13:00 587

原创 [MRCTF2020]套娃1

最终payload：/secrettw.php?这里要求的参数必须是"b_u_p_t"但是不能检测出"_"。其实这里要用到php里非法参数名的问题。.change函数，先进行base64解码，在对每一位的ascii码加上i*2。看到一堆外星语，JavaScript语言，复制解码，找网站运行，发现需要破石头请求。看到提示，flag在FLAG is in secrettw.php。ip不对，需要127.0.0.1。1.过滤"_"与"%5f"。打开题目，查看源代码，有提示。数据包传递ip我知道有两种。

2024-08-16 21:05:27 512

原创 [FBCTF2019]RCEService1

payload = '{"cmd":"/bin/cat /home/rceservice/flag ","nayi":"' + "a"*(1000000) + '"}' #超过一百万，这里写一千万不会出结果。cat在这里仍然不能用。应该是环境变量配置被改变，所以需要使用/bin/cat调用命令。接下来就记录过滤了那些关键字。发现键盘上有的特殊符号好像都被过滤。它给出了提示要求json格式，先尝试一下{"cmd":"ls"}flag在home目录下，不知道为什么find命令返回为空。

2024-08-14 21:43:56 360

原创 [0CTF 2016]piapiapia1

打开题目看到登录口。

2024-08-14 21:14:08 251

原创 [WUSTCTF2020]颜值成绩查询

打开题目输入1输出输入1'会提示学号不存在输入1/**/or/**/1=1#,过滤了空格。1/**/order/**/by/**/3# 存在 1/**/order/**/by/**/4# 不存在绕过爆破表名#爆破字段名爆破flag。

2024-08-13 21:23:37 327

原创 [GYCTF2020]FlaskApp1

当在解密窗口输入非base64值时，会报错，说明开启了debug模式，我们可以计算pin码，利用pin码进入debug模式的交互式命令行进行命令的执行。加密窗口{{7+7}},解密窗口e3s3Kzd9fQ== ({{7+7}}读取文件内容（将payload base64加密后输入解密窗口）访问/console，输入刚才计算出得pin码，进入控制台。加密窗口没看到注入，解密窗口存在注入，是模板注入。可得到waf函数，过滤了flag、os等。查看提示，好像并没有什么用，题目是。，可能是ssti模板注入。

2024-08-12 16:56:18 855

原创 [BSidesCF 2019]Futurella1

打开题目，看到一串像密码一样的画幅，看着有点像咋想密码题目。意外之喜，查看源码直接得到flag了，这题有点简单。不管他，先查看一下源代码吧。

2024-08-10 20:21:49 293

原创 [CISCN 2019 初赛]Love Math1

因为“_GET”在不在白名单中，c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));c=$pi=_GET;

2024-08-10 20:05:35 217

原创 [De1CTF 2019]SSRF Me1

secret_key+param+action,现在我们根据提示可以知道param应该是文件名，而题目给的hint就是flag in /flag.txt那么可以知道param=flag.txt。所以我们要想得到readscan的sign值那么我们可以令param=flag.txtread。于是我们就可以利用这一点，得到readscan的sign值。看到action，param，sign三个参数，action和sign是在cookie中获取的，而param则是从url中通过get方法得到的。

2024-08-10 18:15:57 931

原创 [BSidesCF 2019]Kookie1

根据提示，账号：cookie。密码：monster。试一下登录，登陆成功。账号要加username要改成admin，改一下试试。

2024-08-09 22:04:30 208

原创 [极客大挑战 2019]FinalSQL1

break（参考博客）# 如果为真时的关键字匹配。sql注入，点击1试一下。得到flag倒序，更正为。

2024-08-09 18:17:35 424

原创 [SWPU2019]Web11

找不到，被过滤了，确定列数之后确定哪几个可以展示，payload。确定回显信息那就确定基本信息，比如数据库名，用户名，版本信息等等。

2024-08-08 22:57:55 323

原创 [CISCN2019 华东南赛区]Web111

注意最下面的Build With Smarty!, 猜测是smarty模板注入。smart是php的模板引擎，模板引擎的作用就是分离前端页面和数据的，题目中显示API的URL由于环境的原因无法使用，但我们的IP依旧显示在了页面的右上角，且根据它的提示XFF我们很容易想到，在X-Forwarded-For里构造ssti：payload。开始用bp抓包，然后插入X-Forwarded-For:{$smarty.version}来看一下版本。flag，forwoad回显，查看源码，搜索flag，得到flag。

2024-08-08 16:38:48 336

原创 [NPUCTF2020]ReadlezPHP1

此处未想到flag在phpinfo文件中，在网上才发现flag在phpinfo文件，因此构造序列化信息：O:8:"HelloPhp":2:{s:1:"a";ctrl+u查看源代码。看到php代码，打开。

2024-08-07 20:16:15 435

原创 [网鼎杯 2020 朱雀组]Nmap1

看到这里我们猜测，输入的东西是被escapeshellarg和escapeshellcmd处理过后的结果。输入发现报错，但是没事，继续输入haha'得到flag。我们试着输入127.0.0.1 \| ls试一下。随便输入本地ip试一下127.0.0.1。输入127.0.0.1 | ls看一下。可以看到输入的|被转义字符\转义了。我们输入的东西必须绕过这两个函数。看样子是nmap扫描了。打开题目看到如下信息。

2024-08-06 21:19:20 335

原创 [ASIS 2019]Unicorn shop1

我们随便找一个two thousand，也就是2000，得到。我们可以把字符复制过去，可以直接得到flag。根据提示，只需要金额大于1337就行了。，后端python处理使用的是。从中可以发现源代码是如何处理。操作失败，只让输入一个字符。不妨抓包看一下，信息，发现。所以，前端html使用的是。，编码不一致造成了转码问题。去里面找大于1337的数字。

2024-08-06 16:26:54 378

原创 [强网杯 2019]高明的黑客1

多个线程共同对某个数据修改，则可能出现不可预料的结果，为了保证数据的正确性，需要对多个线程进行同步。#把所有的get和post参数名以键名的方式赋给data和params，并赋值echo 'xxxxxx';#会话方式，和requests.post访问查不多，但在这里会更快，它不需要不停重新访问。#比如a要访问flag这个参数，但b正在访问，那么先暂停a，等b执行完在执行a。#如果flag为1，则记录param为a，也就是此时get参数名。#用来判断是get请求成功，则为1，是post成功则为0。

2024-08-05 17:18:48 649

原创 BUUCTF [安洵杯 2019]easy_serialize_php 1

替换编码_SESSION[user]=flagflagflagflagflagphp&_SESSION[function]=";s:3:"img";s:3:"img";extract可以将数组中的变量导入当前变量表。

2024-08-05 16:37:58 433

原创 [MRCTF2020]PYWebsite-1

提示看到，需要后端审计代码，而且应该要改ip，改成自己本地，burp抓包看一下。改X-Forwarded-For:127.0.0.1。看到flag.php试着打开。打开以后查看源码信息。

2024-08-05 14:32:41 425

原创 [WesternCTF2018]shrine1

发现注册了一个名为FLAG的config，这里可能有flag，通过url_for()与globals()函数，绕过黑名单。存在flask-jinja2模板注入，并且存在黑名单过滤。发现了current_app()函数。查看其中的config得到flag。输入shrine/{{7*7}}打开题目，没什么头绪。查看页面源代码看一下。

2024-08-05 10:52:38 388

原创 [MRCTF2020]Ezpop1

/这里urlencode是为了防止 protected 对象对结果造成影响。调用invoke魔术方法需要将对象当做一个函数来使用，这样invoke方法就会自动调用。，然后成功调用invoke魔术方法就可以读出flag。果我们把modifiy对象的var改为。一看base64编码。

2024-08-05 10:20:28 1240

原创 [安洵杯 2019]easy_web1

然后是一个正则匹配的黑名单，如果传入的cmd的值被匹配到的话就会输出forbid。绕过过滤后，还得通过POST传入两个md5值相等但本身不等的字符串才能执行命令。查看url发现img后面为base64密文，解码，两次解码得到。查看源码，看到base64加密信息，逆转码并传入，查看源码。根据源代码，该页面会通过GET方式获取一个cmd参数，、将源代码解密，得到源代码，开始代码审计。

2024-08-04 18:30:51 599

原创 [BJDCTF2020]Cookie is so stable1

尝试{{7*7}}，发现ssti漏洞，判断是twig。提示看cookie，burp抓包查看cookie。抓包，发现user为注入点。点击hint查看源码。

2024-08-04 11:54:55 242

原创 [WUSTCTF2020]朴实无华1

intval函数获取字符（串）的数字，而如果参数是一个算术表达式，会先将所有的参数都化为数字，再进行数值计算。首先再一个文件夹中创建两个文件,flag和a.php。get_flag=ls试一下。根据提示，改get传参。找到源码，代码审计看看。GET方式传入三个参数。根据提示，再访问一次。提示不在这，抓包看看。

2024-08-04 11:06:45 398

原创 [BJDCTF2020]Mark loves cat1

发现这么多链接，以为要一点点去找功能上的漏洞。当你源代码，dirsearch，抓包等等操作之后，发现什么都没有。所以这题又是一道源码泄露题，上GItHack。handsome=flag，得到$handsome=$flag。Get或Post传入flag=flag，触发变量覆盖代码。根据源代码，需要通过get传参达到变量覆盖的目的。再覆盖覆盖handsome变量。主要代码在index里面。

2024-08-04 09:53:11 471

原创 [GWCTF 2019]我有一个数据库1

打开题目，一串乱码，不认识的汉字。

2024-08-03 23:00:34 357

原创 [NCTF2019]Fake XML cookbook1

猜测可能为sql注入，或者绕过，思路查看源码，看有用信息。

2024-08-03 22:12:22 557

原创 [GXYCTF2019]禁止套娃1

打开题目。

2024-08-03 22:11:15 236

原创 [BJDCTF2020]ZJCTF，不过如此1

如果匹配被查找到，替换后的 subject 被返回，其他情况下返回没有改变的 subject。知识点是pre_replace漏洞，先往下看，getFlag()函数对get方式传入的cmd参数的参数值当作代码执行，这是我们的漏洞利用点。还有一个参数file，从源码中可以知道我们可以利用文件包含读取next.php的内容，同样用php伪协议读取。如果 subject 是一个数组， preg_replace() 返回一个数组，其他情况下返回一个字符串。$subject: 要搜索替换的目标字符串或字符串数组。

2024-08-03 22:04:54 358

空空如也

空空如也