@小左-优快云博客

原创 python3安装教程

链接：https://pan.baidu.com/s/1MV3kvVdjCdS_G-_KgefwLw?百度网盘下载python-3.12.3-amd64.exe。双击python-3.12.3-amd64.exe。win+r输入cmd回车查看是否安装成功。有很多版本，选择需要的版本下载。1.下载python。2.安装python。3.检查python。

2024-05-08 15:25:58 1465

web41代码审计过滤了：[0-9] [a-z] ^ + ~ $ [ ] { } & -这次字母过滤了，字符不是很多思路：通过特殊字符来构造字母从而实现代码执行这里根据题目提示已经给了一篇博客第一个脚本运行结果是解释一下是怎么得来的：A %40 %01十六进制的40=十进制的64=二进制0100 0000十六进制的01=十进制的01=二进制0000 0001二者进行或运算0100 00000000 00010100 0001不理解的话可以具体去看一下这个网址带着的表运行结果。

2024-04-24 21:22:47 1289

原创 ctfshow web29-web40

1=php://filter/convert.base64-encode/resource=flag.php：使用GET请求传递参数"1"，该参数的值为php://filter/convert.base64-encode/resource=flag.php。这是一种特殊的文件包含方式，其中php://filter用于对文件进行过滤和转换，convert.base64-encode表示将文件内容进行Base64编码，而resource=flag.php指定了要读取的文件为flag.php。

2024-04-22 15:30:24 921

原创文件删除(删不掉的文件)

当看到下面这种情况，想删除它的心暴涨。

2024-04-19 15:12:32 2417

原创 isctf

where_is_the_flag你说爱我？尊嘟假嘟

2024-02-01 13:56:25 414

原创 1z_php

当Person类中的属性改变时，导致hashCode的值也发生变化，变化后，map.get(key)因为hashCode值的变化，而无法找到之前保存的value值，同样，删除也取不到值。MD5 算法的哈希输出空间相对较小，仅有 128 位（仅能容纳 128 位二进制数据，而输入空间是无限的，这种输入与输出的不匹配性导致了哈希碰撞的可能性。具体来说，即使输入数据只有一个比特位的改变，其计算得到的 MD5 哈希值也会产生全局性的变化，而不仅仅在修改的位置上体现出差异。但是在实际工作中，最常用的使用。

2024-02-01 13:51:35 1082

原创 PCTF2023

webSign In点开是这样的鼠标到url的地方然后ctrl＋U查看源代码easyupload文件上传的题传一个jpg抓包后修改文件名为pflag.phpflagflag(AD_Qual_DOne_!)111z_sql打开就是我们的签到页面用了现成的脚本，改了一下端口import requestsurl = "http://node6.anna.nssctf.cn:28089/copyr

2024-01-27 22:05:48 1003

原创渗透测试考核

2、将 go build 命令生成可执行文件的路径改为当前用户拥有写入权限的其他目录，例如你的用户主目录（%USERPROFILE%）或其他自定义目录，例如 D:\MyPrograms。2、端口状态closed：端口状态closed只是在扫描的这个时刻为关闭，当在另一个时间段进行扫描的时候，这些关闭的端口可能会处于开放状态。我这里使用的是1.20版本，安装低版本会出现各种问题。1、端口状态filtered：端口状态filtered由于报文无法到达指定的端口，nmap不能够决定端口的开放状态。

2024-01-27 22:00:01 589

原创 bugku No one knows regex better than me

preg_match_all(匹配的正则表达式,需要匹配的字符串):=>运用正则表达式匹配规则的全部内容,返回匹配的次数.只要传入的first从第五个开始截取后与zero参数连接出现flag.php就行。preg_match()同上,只是匹配一次就停止,成功返回1,否则返回0。还有zero(flag)要base64加密ZmxhZw==传入的两个参数只要有这其中的字符就行了(一个就行)这里匹配过程是这样的 \| => | => |这里的aaaa随意也可以oror也行。first和zero是需要传的参数。

2023-12-24 00:25:44 388

原创 bugku 成绩查询

这意味着 -d "skctf" 这部分的语法有问题。但报错了(看别人的wp爆出的库是skctf_flag，不知道为什么，我查询语句时也是skctf)按照我查询到的库skctf，字段skctf_flag。一个数据库skctf（估计flag就在里面）skctf中只有两个表 fl4g，sc。大佬的wp确实有，也许是现在做了修改。我想用下面的语句爆skctf中的库。说明库确实是skctf_flag。所以skctf_flag是表？得到了两个表，fl4g和sc。爆出了三个库，五十三个表。发现了一个库skctf。

2023-12-22 22:27:44 427

原创 bugku source

这里直接打开git文件。这里直接在文件管理器（桌面上的文件系统）中打开。顺着目录找可以看到有很多文件。好的，还是得用 dirsearch ，御剑扫出来的三个东西。上御剑（也可以用 dirsearch，御剑比较简单）发现了git文件，有可能有git泄露把git文件下下来。打开题目有一句描述：我哥说渗透我只用linux环境。命令：git show+(文件名)没用（也许是我没勾ASP哪些）我就说嘛，怎么可能那么简单。可以看到扫出来了很多git。这些文件就要一个一个去查看。题目提示了渗透，扫一下？

2023-12-21 21:42:28 648

原创 bugku cookies

如果用户的cookie中包含名为 “margin” 的 cookie，并且其值为 “margin”，那么会将 $file_list 数组中索引为 2 的元素设置为 ‘keys.php’。这意味着只有当用户具有指定的cookie时，才会将 ‘keys.php’ 添加到 $file_list 数组中。在之后的文件读取操作中，如果用户请求的文件在 $file_list 中，且用户具有特定的cookie，就可以读取 ‘keys.php’ 文件的内容。falg.php的base64编码：ZmxhZy5waHA=

2023-12-16 22:23:16 981

原创序列化与反序列化

(1)Java序列化就是指把Java对象转换为字节序列的过程Java反序列化就是指把字节序列恢复为Java对象的过程。(2)序列化最重要的作用：在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。反序列化的最重要的作用：根据字节流中保存的对象状态及描述信息，通过反序列化重建对象。

2023-12-07 21:45:23 879

原创 [ACTF2020 新生赛]Include——文件包含

文件上传中传输PHP的协议，可以传送任意PHP文件。tips可以点，一般特别想用bp抓包来看。我也抓了，但这是文件上传的题！

2023-12-02 22:27:24 391

原创 bugku 文件上传

（依次尝试php4，phtml，phtm，phps，php5（包括一些字母改变大小写））分别将后缀名修改为php2, php3, php4, php5, phps, pht, phtm, phtml（php的别名），发现只有php4没有被过滤。第二个是文件的的Content-Type: application/octet-stream，改成image/jpeg。只能上传图像，不能上传PHP文件，那应该是寻找漏洞上传PHP文件。Multipart里的部分字母改成大写的。第三个是文件后缀名改成php4。

2023-11-26 00:54:25 508 1

原创渗透测试1

渗透测试就是模拟真实黑客的攻击手法对目标网站或主机进行全面的安全评估，与黑客攻击不一样的是，渗透测试的目的是尽可能多地发现安全漏洞，而真实黑客攻击只要发现一处入侵点即可以进入目标系统。一名优秀的渗透测试工程师也可以认为是一个厉害的黑客，也可以被称呼为白帽子。

2023-11-18 20:13:53 252 1

原创 [MRCTF2020]你传你呢1

还是被过滤掉了，接着修改一下MIME信息，判断是不是有MIME过滤，将请求头的Content-Type内容改为 image/png 继续发送。文件上传绕过的方法有很多，试了一下发现能用.htaccess解析漏洞，我们先创建一个文件，文件名为.htaccess，内容为。上传成功了，确认是黑名单过滤文件后缀跟MIME，还回显了路径，那这就好办了。接着我们切到重复器那边，随便修改一下文件后缀，判断是白名单还是黑名单绕过。上传成功，接着我们来到重复器，将文件名改为abc。再用蚁剑即可得到flag。

2023-11-18 00:00:26 153 1

原创 [第一章 web入门]SQL注入-1，[第一章 web入门]SQL注入-2

得到payload：name=1'and updatexml(1,concat(0x7e,(sELECT group_concat(table_name) from information_schema.tables where table_schema=database())),1)--+&pass=1' and 1=2 --+-- 如果觉得太难了，可以在url后加入?id=1 and 1=1--+ 正常。id=1' and 1=1--+ 正常。打开是这样的，很明显在url中存在注入点。

2023-11-14 21:42:42 135 1

原创 [极客大挑战 2019]BabySQL1

检查与您的MariaDB服务器版本对应的手册，以便在第1行'1=1#'和password='123 "附近使用正确的语法。1'ununionion seselectlect 1,2,3#&passward=1 有回显，说明有三列。1’ order by 3#&passward=123 报错发现order中的or与by都被过滤了。1'ununionion seselectlect 1,2,3,4#&passward=1 报错。打开是这样的，是之前两个题的升级版。有回显说明双写绕过是可行的。

2023-11-11 20:47:26 492 1

原创 sql的题

账号中的’使前面的引号闭合，or 1=1 使语句恒成立，最后的#号会注释掉#之后的语句，避免报错，所以sql语句返回真值，成功绕过验证，得到flag。需要注意的是传参时要给username和password均传递参数，虽然username中的%23会将后面的注释掉，但是也不可以不给。如果$post[‘query’]的数据为*,1，sql语句就变成了select *,1||flag from Flag，理解：这里输入*,1,这里会增加一个临时列，他的列名为1，然后那一列的值都为1。

2023-11-07 21:01:04 93

原创 XSS-labs

XSS 即（Cross Site Scripting）中文名称为：跨站脚本攻击。XSS的重点不在于跨站点，而在于脚本的执行。那么XSS的原理是：恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候，那么嵌入到web页面中script代码会执行，因此会达到恶意攻击用户的目的。实施XSS攻击需要具备两个条件：1.需要向web页面注入恶意代码；2.这些恶意代码能够被浏览器成功的执行XSS分类：反射型、存储型、及 DOM-based型。

2023-10-08 16:38:31 76 1

原创 ctf.show 菜狗杯

结合题目提示异或0x50，发现D9异或50得89，00异或50得50，1E异或50得4E，17异或50得47，89 50 4E 47 正好是图片格式png的头。栅栏密码：即把将要传递的信息中的字母交替排成上下两行，再将下面一行字母排在上面一行的后边，从而形成一段密码。无后缀的文件，最先想到用文本方式打开看看，看到一串字符，可能是统计字符串中字母出现的频数？根据上几题经验用010Editor打开看到一串字符，与记事本打开的一致。看一下属性，用010Editor打开查看一下。去找了现成的脚本，用终端跑出来的。

2023-10-07 01:10:45 650 1

原创 bugku 文件包含，备份是个好习惯，源代码

这条语句又限制了key的输入，str_replace函数会对key进行过滤，但可以采取双写绕过的形式，即 kkeyey1,kkeyey2。如果两个字符经MD5加密后的值为 0exxxxx形式，就会被认为是科学计数法，且表示的是0*10的xxxx次方，还是零，都是相等的。1，md5()函数无法处理数组，如果传入的为数组，会返回NULL，所以两个数组经过加密后得到的都是NULL,也就是相等的。.因为md5（）函数加密不能处理数组，则key1和key2的返回值为空，即可获得flag。点开click me?

2023-09-26 21:11:33 211 1

原创 SSTI

既然是http协议扩展一个实体头，并且这个值对于传入端是信任的，信任传入方按照规则格式输入的。sql注入是从用户获得一个输入，然后又后端脚本语言进行数据库查询，所以可以利用输入来拼接我们想要的sql语句，当然现在的sql注入防范做得已经很好了，然而随之而来的是更多的漏洞。也就是说例如：{{}}在Jinja2中作为变量包裹标识符，Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换，比如{{1+1}}会被解析成2，如此一来就可以实现如同sql注入一样的注入漏洞。对HTTp协议进行扩展。

2023-09-20 16:59:50 134 1

原创 2023蓝帽杯初赛复现

答案是：5万答案是：华哥在火眼取证分析里有这个时间，但我不明白为什么不是 2023-06-21 08:27:53答案是：2023-06-21 01:01:25列举注册表 volatility -f neicun.mem --profile=Win7SP1x64 hivelist查看启动项 Volatility -f 文件 --proflie=版本号 hivelist。

2023-09-15 01:13:44 120

原创第三周 PHP代码审计

php函数的完整参考手册：PHP 教程 | 菜鸟教程1.字符串函数在PHP编程中，字符串函数用于处理字符串常见的字符串函数包括：strlen()函数：用于获取一个字符串的长度substr()函数：用于获取一个子字符串strtoupper()函数：用于将字符串转换为大写strtolower()函数：用于将字符串转换为小写str_replace()函数：用于替换字符串中的某个字符strpos()函数：用于在字符串中查找指定的字符或子字符串2.数组函数在PHP编程中，数组函数用于处理数组常见的数

2023-08-02 16:03:24 60

原创 sqlilabs Less5-8

显示的secure_file_priv 如果value值为null，则为禁止，如果有文件夹目录，则只允许改目录下文件（测试子目录也不行），如果为空，则不限制目录；Less-1提交and1=1和提交and1=2都能正常显示的界面，则不可能是数字型注入，即为字符型注入。其他数据库库名可能由字符，数字，字母共同组成，但security只有字母所以。

2023-07-19 17:15:23 57

原创 sql 注入中的注释符

在url中，如果是get请求**(记住是get请求），也就是我们在浏览器中输入的url)** ，解释执行的时候，url中#号是用来指导浏览器动作的，对服务器端无用。所以，HTTP请求中不包括#，因此使用#闭合无法注释，会报错；3.对于所有其他的字符，用这个字符的当前字符集编码在内存中的十六进制格式表示，并在每一个字节前加上一个百分号（%），如字符“+”是用%2B表示，字符“=”用%3D表示，字符“&”用%26表示，每个中文字符在内存中占两个字节，字符“中”用%D6%D0表示，字符“国”用%B9%FA表示。

2023-06-13 16:29:07 2134 1

原创 sqlilabs Less1-4

sqliphpstudy的安装路径不能包含中文和空格先将sqli放到php的根目录www下数据库的配置数据库的密码不能为空，加一个密码打开根目录，找到sqli中的sqli-connections打开对db-creds.inc修改为 $dbpass ='root'；保存还报错，可能是php的版本过高，在网站-管理-php版本可以修改要会使用php的根目录和MySQl工具里面的mysql命令行mysql命令行打开后要输入密码 root。

2023-05-24 15:57:18 176 1

原创文件格式压缩包，密码学，图片隐写，流量分析

不常见的压缩格式还有诸如：“.apz”、“.ar”、“.bz”、“.car”、“.dar”、“.cpgz”、“.f”、“.ha”、“.hbc”、“.hbc2”、“.hbe”、“.hpk”、“.hyp”等。散列函数，也叫杂凑函数、摘要函数或哈希函数，可将任意长度的消息经过运算，变成固定长度数值，常见的有MD5、SHA-1、SHA256，多应用在文件校验，数字签名中。对称密码的密钥安全极其重要，加密者和解密者需要提前协商密钥，并各自确保密钥的安全性，一但密钥泄露，即使算法是安全的也无法保障原文信息的私密性。

2023-04-26 13:50:27 402 1

m0_73721944的博客