m0_53314778的博客

知识点：move_uploaded_file() 函数：mkdir() 函数：首先打开网页可以看见源码：<?phpfunction get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_exists($userdir)){ mkdir($

[CSCCTF 2019 Qual]FlaskLight知识点SSTIflask模板启动：进入环境，f12可以看到提示get传参search。猜测是个flask的模板注入。再根据题目等提示 ：flask模板，测试一下接下来就是正常的SSTI注入的测试，注到{{[].__class__.__bases__[0].__subclasses__()}}这里列出了所有的类，找了一个经常用的用来RCE的类，发现真的存在，然后继续注，但是不行了，返回了500。然后我又把后面的.__init__

考点：代码审计SSRF知识点perl脚本GET open命令漏洞GET是Lib for WWW in Perl中的命令 目的是模拟http的GET请求,GET函数底层就是调用了open处理open存在命令执行，并且还支持file函数pathinfo() 函数进入环境审一下代码：<?phpif (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_

二次注入报错注入启动：先注册一个用户在注册的时候，fuzz测试发现在username和email中过滤了以下字符@orandspace（空格）substrmidleftrighthandle没有源码慢慢测试.......输入分号没有报错先注册完登录之后发现可以更改密码尝试是否能注入继续测试发现无果翻了翻以前刷过的sql-lab在注册时用户名加些测试字符进去，'mochu7"发现是二次注入二次注入讲解最终发现输入mochu"\ 在改密码的时候报错.

知识点：nc命令反弹shell进入题目：首先题目中提示了.swp，应该是.swp源码泄露，然后试了试/index.php.swp毫无反应，看了wp之后才知道是/.index.php.swp。。。访问http://xxx/.index.php.swp下载该文件该文件产生的原因是：​使用vi编辑器打开文件时，会生成一个.文件名.swp的备份文件，防止意外退出等情况导致文件内容丢失。产生原因主要是管理员在web目录下修改代码文件，导致生成了.swp备份文件。然后下载下来，拖到kali里用命令v

[Zer0pts2020]Can you guess it?知识点：新变量属性-PHP_SELF$_SERVER['PHP_SELF']表示当前 php 文件相对于网站根目录的位置地址，与 document root 相关下面是本地测试截图，也就是http://.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']新php函数-basenamebasename()函数会返回路径中的文件名部分假如路径是/index.php/config.php浏览器的解析结果都

[BJDCTF 2nd]elementmaster启动：看到两个hidden id 第一个明显是十六进制，然后就把两个都转换一下，拼起来得到Po.php，访问Po.php，发现只有一个点。翻译index.php(首页)的英文。我是全部118个元素的元素大师！你可能没有感觉，但是放射性射线的症状会无声的杀死你。加上这个题的题目 element master，就是元素掌控者的意思，结合步骤一（Po也是个化学元素的缩写），感觉应该是访问由元素周期表命名的php文件（说白就是：.php文件是以元素周期

考点ssrf redis反弹shell知识点：SSRF漏洞利用讲解启动：查看页面源代码，发现有一个注释在url里访问一下：得到一串ifconfig的结果，看到网络配置信息。尝试访问了一下这个内网ip 173.13.144.10，发现回显了本页面，因此猜测可能是内网中有内容。猜测可能存在是ssrf给了ip，想一想也知道这应该是个ssrf的题。我们试一下file协议读文件：发现file协议被过滤了，我们可以尝试绕过：file：/、file:<空格>///如下：fil

[BSidesCF 2019] Kookie考点：Cookie启动：用bp添加Cookie，但是(学到了一个新的添加Cookie的方法~)一个登陆界面，提示需要用admin用户登陆，并且提示了cookie / monster使用F12中Application添加Cookie：username=admin刷新页面，得到flag看到此题本菜鸡再呼好题~[FBCTF2019]RCEService知识点： JSON从入门到精通打开界面可以看见提示说要用JSON格式输入cmd中先尝试一

[WUSTCTF2020]颜值成绩查询启动：明显sql注入题目，先fuzz测试查看有没有过滤了什么，这里过滤了空格，但是我们可以收用/**/来分隔sql语句输入1看看发现页面变化了，而且url多了个stunum参数http://101.200.53.102:10114/?stunum=1输入2，3，4依次提交，发现页面都有变化可是再往下输入，就没反应了~一开始以为是flag会在某个stunum页面下，所以用bp跑了stunum=1 到1000结果只有stunum=1，2，3，4的时候页面有

[BSidesCF 2019]Futurella整了个火星文，看不懂查看源代码本萌新直呼好题~~[极客大挑战 2019]RCE ME知识点无字母数字RCE绕过disable_functions打开题目的实例code中不能含有字母和数字，有长度限制。现在的问题是要绕过preg_match()中正则表达式的限制并getshell，连上蚁剑或菜刀，考虑异或或者取反绕过。先出一个phpinfo()看一下配置（我们这里看一下PHP版本以及禁用函数），用符号构造phpinfo，这里直接用取反u

[GKCTF2020]老八小超市儿知识点shopxo后台全版本获取shell搜索能力渗透测试|shopxo后台全版本获取shell复现启动靶机：一看就知道是个CMS,我们试着搜索一下ShopXO企业级免费开源商城系统的漏洞,可以知道一个后台的文件上传漏洞知道了默认后台地址以及账号和密码：/admin.php | admin:shopxo成功进入后台左侧找到安装主题功能，然后到shopxo官网下载一个官方的主题模板，摸了一下主题模板的结构后发现可以把马插在压缩包的/主题名/_stati

[GYCTF2020]FlaskApp知识点Flask模板注入中debug模式下pin码的获取和利用Pin （代码识别码）debug模式，为什么assert()在debug模式下才有用？ssti的绕过（拼接字符串，倒序切片，内置对象、函数）WP：前言：Flask开启debug模式等于给黑客留了后门参考链接：Flask开启debug模式Flask在生产环境中开启debug模式是一件非常危险的事，主要有3点原因：1、会泄露当前报错页面的源码，可供审计挖掘其他漏洞2、会泄露W

[MRCTF2020]Ezpop打开靶机得到源码：<?php//flag is in flag.php//WTF IS THIS?//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95//And Crack It!class Modifier { protected $var;

知识点：PHP中利用原生类的反序列化以实现XSS启动：git源码泄露用githack提取源码：<?php$a = $_GET['yds_is_so_beautiful'];echo unserialize($a);反序列化前面有echo 考虑调用 __toString()方法。但是不知道类。上网搜资料后发现，php自身带着许多原生类。其中有用的包括：调用__call()方法的时候有SoapClient 类 ，可用于php5、php7，可以形成SSRF漏洞。

[NCTF2019]True XML cookbook考查知识点：xxe注入攻击xxe内网探测基础知识点：XXE漏洞XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置，没有对上传的xml文件进行过滤，导致可上传恶意xml文件。 XM

[MRCTF2020] PYWebsite考点：X-Forwarded-For启动环境：提示需要购买flag，查看网页源码时，发现：<script> function enc(code){ hash = hex_md5(code); return hash; } function validate(){ var code = document.getElementById("vcode").value; if

[极客大挑战 2019]FinalSQL考点盲注启动SQl的题目，首先试一试万能密码(虽然不可能，但是还是得试一下)试一下双写看来被封死了，想想其他的办法，可以使用extractvalue和updatexml进行报错注入，空格和=号没有，所以我们要使用（）来代替空格，使用like来代替=号使用extractvalue（）/check.php?username=admin&password=admin'^extractvalue(1,concat(0x7e,(select(dat

【WUST-CTF2020】朴实无华考点：intval()函数科学计数法绕过网页Unicode编码变量md5()加密后与原值相等nl、tac等替代cat命令启动靶机：看到标签名：bot字眼，猜测可能有robots.txt协议，访问：写着fake_flag，得到假的flag：根据之前的Warning：猜测和请求头有关，使用BurpSuite抓取数据包：在Response中发现新的提示：`Look_at_me: /fl4g.php或者：F12看了看网络包，在响应头里，发现有一个lo

[BJDCTF 2nd]简单注入考点：盲注启动：拿到题目，先扫一下目录发现有robots.txt，里面提示了一个hint.txt。访问hint.txt有一条后台查询语句：select * from users where username='$_POST["username"]' and password='$_POST["password"]';应该有注入点回到登入框处，尝试注入，发现加单双引号都被过滤fuzz一下长度为1414的都被过滤，包括select，and，=，等。很明显联合注入用

[WesternCTF2018]shrine介绍模板其实就是对于传入的数据进行解析，然后生成html文件，然后在返回给浏览器进行展示，而这其中就用到了模板渲染和模板引擎模板注入的根本原因就在于客户端向服务器传输的参数被解析，由于模板中有较多函数，所以，很多情况下模板注入可以导致远程代码执行，模板注入大概分为这几种：客户端模板注入、服务端模板注入、模板引擎注入。在本题中就是flask/jinja模板注入考点：Flask模版注入url_for()和get_flashed_messages()函数绕

[BSidesCF 2020]Had a bad day考点： php伪协议嵌套启动环境：其中包含两个按钮，选择猫和狗的图片：此时的URL变为：http://xxx/index.php?category=meowers 观察url，猜测sql注入其中包含有GET传参，尝试修改category传入的值，得到报错：弹出include报错，那就是文件包含了尝试获取index.php页面的源码：php://filter/read=convert.base64-encode/resource=inde

[SUCTF 2019]Pythonginx知识点：nginx配置文件路径 black hat一个议题 任意读取文件这道题用的是blackhat议题之一HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization，blackhat这个议题的PPT链接如下：https://i.blackhat.com/USA-19/Thursday/us-19-Birch-HostSplit-Exploitable-Antipatterns-In-Unicode

[BJDCTF2020]Cookie is so stable打开后发现有一个flag选项卡，进去后发现有一个输入框要我们输入一个id，随便输入个123看看，回显我们的id，于是看了看我的cookie，发现Cookie中多了user参数，cookie里的user是注入点初步猜想，有没有可能是Cookie注入？于是我输入了几个注入关键字测试是否存在注入，发现并不是cookie注入。测试了一下是否存在SSTI注入简单测试一下发现存在着模板注入简单回顾下流程图如果是Twig，输入{{7*‘7

[NCTF2019]Fake XML cookbookXXE漏洞XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置，没有对上传的xml文件进行过滤，导致可上传恶意xml文件。XML- XML被设计为传输和存储数据，其焦点是数据的内容。- H

[网鼎杯 2020 朱雀组]phpweb考察知识点call_user_func()回调函数，反序列化PHP内置函数call_user_func()使用方法PHP highlight_file() 函数流程：页面看不出啥，抓个包看看。从包中我们可以看到，传递了两个参数，func和p。func的值是date，再结合p的值，我猜测这里是用了call_user_func()来回调函数，即将func的值当作函数名，p的值当作参数。那么我们直接使用system函数查看当前目录下的文件回显Hacker

[De1CTF 2019]SSRF Me

[BJDCTF2020]Mark loves cat扫描器扫一下，发现是git泄露。用githack提取一下flag.phpindex.php<?phpinclude 'flag.php';$yds = "dog";$is = "cat";$handsome = 'yds';foreach($_POST as $x => $y){ $$x = $y; }foreach($_GET as $x => $y){ $$x = $$y;

buuctf [安洵杯 2019]easy_web加密密文粗略判断F12没什么收获，不过看到url有个值很像base64的编码（看到img的值，要敏感，base64加密）：解码一下：MzUzNTM1MmU3MDZlNjc=还是像base64，在解一次：3535352e706e67看起来像是hex，拿去转字符串：HEX编码:【密文开头是0xk 后边是一串数字和字母 或者只有数字开头和字母】密码样式：0x68656c6c6f 3535352e706e67555.png可见，文件名

[GXYCTF2019]BabyUpload知识点.htaccess文件上传绕过l流程：先上传一个小马看看，ph 后缀的都被ban了图片马试一试，凉凉，看看是什么服务，搞一个不存在的页面让它404apache的，那就用 .htaccess文件<FilesMatch "flag.png"> SetHandler application/x-httpd-php</FilesMatch>匹配到flag一句话木马文件，让其成为php执行或者 SetHandler

[RoarCTF 2019]Easy Java一个免费的开放bai代du码zhi的Web 应用服务器，用dao处理网络传zhuan输过shu的一du些请求比如zhihttp请求、并处理请求、返回dao数据。比如我们浏览一个网页，而这个网页的所有网页是配置在一个Tomcat服务器上的，我们在这个网页上执行的所有动作都需要经过Tomcat 处理。如果没有这个Tomcat来提供服务器端的服务的话，我们所浏览的这个网页就打不开，也无法在网页上执行任何动作。WEB-INF/web.xml泄露WEB-INF主要

[MRCTF2020]Ez_bypass(PHP代码审计)访问页面，查看源代码<?phpI put something in F12 for youinclude 'flag.php';$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) =

MRCTF2020]你传你马呢.htaccess文件简介：.htaccess文件(或者"分布式配置文件"）,全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法， 即，在一个特定的文档目录中放置一个包含一个或多个指令的文件， 以作用于此目录及其所有子目录。作为用户，所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。打开apache的http.conf文件找到的AllowOverride None，将其改为AllowOverride

[网鼎杯 2020 青龙组]AreUSerialz<?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile

注入点为2

[CISCN2019 华北赛区 Day2 Web1]Hack Worldsql盲注有时候，开发人员不会把数据库报错信息显示在前端页面，这样就使我们想要通过union注入或报错注入的攻击方式难以实现。当不显示报错信息的时候，我们还可以通过盲注的方式来对数据库进行注入攻击。盲注又分为两种，布尔型盲注和时间型盲注。布尔型盲注通过注入不同的内容，得到返回显示不同(没有其他任何信息)来判断真假要点就是通过不停发送数据包，对结果进行真假判断，从而得到正确结果布尔型盲注会利用到数据库中的一些表达式

[SUCTF 2019]CheckIn一句话木马变形<?php @eval($_POST['post']) ?>一句话木马常见的可以是用php、jsp、asp、aspx来写让一句话木马里没有 <? 所以用了<script language="php">eval($_POST['a']);</script>，但本质上还是 PHP 一句话木马，因为执行函数还是 PHP 的 eval()。绕过文件检测首先了解到用的是 exif_imagetype() 函数

[HCTF 2018]adminwebsocket，wsgi，flask，web框架，它们之间到底是什么关系？作者：ccloomi链接：https://www.zhihu.com/question/323016192/answer/732591578来源：知乎著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。假如我们要做一个网站，先从最简单的开始，这个网站就一个页面好了，简单的html+css。然后网站部署在公司的一台服务器上。这台服务器就称为web服务器。要访问这个网站我们只

【BUUCTF】 [极客大挑战2019] BabySQLsql 注入 双写绕过replace函数，找到union和select等替换为空需要绕过的双写，单词中间拆开，分两半，里面藏一个完整的：unionununionionselectseselectlectfromfrfromomwherewhwhereereinformationinfoorrmation（过滤了or）orderoorrder（过滤了or）bybbyy常见URL编码%20 空格%23 #%27

[极客大挑战 2019]HttpReferer:HTTP Referer是 header 的一部分，当浏览器向 Web 服务器发送请求的时候，一般会带上 Referer，告诉服务器该网页是从哪个页面链接过来的，服务器因此可以获得一些信息用于处理。User Agent:User Agent 中文名为用户代理，简称 UA，它是一个特殊字符串头，使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。X-Forwarded-ForX-Forw