- 博客(97)
- 收藏
- 关注
RSS订阅原创 [GKCTF 2021]excel 骚操作
打开之后,基本是一个空白的excel,一开始以为是用压缩软件解压缩,然后flag藏在那里面,后来发现没有,然后设置单元格格式为常规,可以显示出很多数字如图所示,看上去很像二维码。我们把有数字1的单元格涂成黑色。使用Ctrl + F修改合适的行高,列宽,最后是长这样,然后不是二维码,微信扫不出来,网上一查这叫汉信码,有专门的app可以扫描出来。中国编码可以扫描,flag{9ee0cb62-f443-4a72-e9a3-43c0b91075...
2021-09-24 14:33:07
2372
原创 [GKCTF 2021]FireFox Forensics
下载附件看到一个sqlite的数据库文件和一个json文件这是火狐浏览器中保存的密码,直接去整,github有一个firepwd工具可以直接解密得到flag链接:firepwdhttps://github.com/lclevy/firepwd.git直接运行可以得到flag...
2021-09-24 11:19:20
521
原创 [2021祥云杯]secrets_of_admin
题目给了源码,查看源码再database.ts中发现登录的用户名和密码。使用即可直接登录,database.ts文件除了提供了用户名和密码外还创建了一个files表,files表有文件所属用户,文件名和文件哈希,其中superuser用户有一个flag文件,这就是我们的目标。再index.ts中,有一个路由/api/files/:id可以通过提供用户名与id来读取数据库中的对应的文件,但是数据库中的flag文件时superuser用户的,但是代码进制superuser用户登录。还有一个.
2021-08-30 16:19:14
622
原创 [2021祥云杯]Package Manager 2021
看schema.ts就可以知道这里用的是mongodb。/auth存在sql注入漏洞,router.post('/auth', async (req, res) => { let { token } = req.body; if (token !== '' && typeof (token) === 'string') { if (checkmd5Regex(token)) { try { let docs = await User.$where(`th
2021-08-30 11:18:05
467
原创 [BJDCTF2020]EzPHP
打开之后是卡巴斯基的网络威胁实时地图,右键不能查看源码 F12打开调试器,查看元素base32解码,得到了一个页面,打开之后是源码,<?phphighlight_file(__FILE__);error_reporting(0); $file = "1nD3x.php";$shana = $_GET['shana'];$passwd = $_GET['passwd'];$arg = '';$code = '';echo "<br /><...
2021-08-11 16:57:20
329
原创 [GKCTF 2021]babycat
这道题点开始注册登录界面,但是点击注册按钮会提示Not Allowed。但是查看源码会发现这里是直接跳出了Not Allowed,构造POST请求,通过burp发包注册一个账号。注册成功,登录后又上传和下载两个功能,我们发现下载有一个目录穿越,尝试读取,/WEB-INF/web.xml.由于上传功能只有管理员可以使用它,因此可以根据xml的内容构造出,../../WEB-INF/classes/com/web/servlet/registerServlet.class,...
2021-08-11 12:46:01
895
2
原创 [HFCTF2020]JustEscape
页面有提示肯定有个run.php其次code要经过url编码才能计算数学题,当然,这也不一定是php。在nodejs中也有eval函数,可以用Error().stack测试一下,可以看到是有vm.js文件,应该可以确认是vm沙箱逃逸,这里面有最新的沙箱逃逸的poc,https://github.com/patriksimek/vm2/issues/225但是直接用肯定会被waf拦截,经过探测 waf过滤了下面的关键字['for', 'while', 'process',...
2021-08-10 16:42:34
541
原创 [NPUCTF2020]ezinclude
看一下源码,好像是哈希长度扩展攻击,但是不知道长度,所以不太可能用爆破,然后在response里给了hash值,直接pass传一下,会提示跳转到flflflflag.php。直接跳转,这里如果直接用浏览器打开的话,会跳转到404.html,这里看到一个文件包含,使用伪协议读一下flflflflag.php的源码,/flflflflag.php?file=php://filter/read=convert.base64-encode/resource=flflflflag.p..
2021-08-10 10:56:26
1145
原创 [WUSTCTF2020]alison_likes_jojo
下载题目之后,有一个txt文档和两张图片,binwalk分析发现boki.jpg有隐藏文件,foremost分离。压缩包有加密,爆破。爆破得到口令888866base64解码,解密三次后有了一个字符串,jljy.jpg室outguess隐写,解出的字符串是他的密钥,...
2021-08-04 10:00:36
344
原创 [CISCN2019 华东南赛区]Double Secret
打开之后只有这个后台有robots.txt但是里面什么都没有,猜一下这个后面应该有个secret页面,果然有一个,
2021-07-28 10:09:06
179
原创 [RootersCTF2019]I_<3_Flask
知识点:url参数爆破,ssti第一步使用 Arjun爆破url参数,爆破出来参数name接下来就可以尝试ssti,去网上找个payload 打一下。{% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__init__.__globals__.values() %} {% .
2021-07-27 10:21:46
129
原创 [watevrCTF-2019]Cookie Store
打开之后是一个饼干购买商城的页面,发现我有50块钱,但是想要购买flag需要100块,买不起,给自己加点钱吧,使用editthiscookie可以修改cookie。修改money的数量, 然后base64 编码修改一下cookie的值。刷新后发现自己的钱变多了,直接买flag就可以了。...
2021-07-26 15:39:42
369
原创 [NCTF2019]SQLi
打开之后是一个登录界面,扫描后台之后发现robots.txt打开提示查看,$black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in|<|>|-|\.|\(\)|#|and|if|database|users|where|table|concat|insert|join|having|sleep/i";..
2021-07-26 14:50:48
107
原创 [网鼎杯 2020 白虎组]PicDown
打开之后只有一个输入框,参数只有一个url,想到是否可以读取任意文件,结果输入../../../../../flag可以读取到,也可以直接读取flag。
2021-07-26 11:30:37
121
原创 [b01lers2020]Welcome to Earth
打开之后,没一会儿就会跳到die页面,查看源码才发现有个定时器,<!DOCTYPE html><html> <head> <title>Welcome to Earth</title> </head> <body> <h1>AMBUSH!</h1> <p>You've gotta escape!</p> &l..
2021-07-26 11:19:59
194
原创 [HarekazeCTF2019]encode_and_encode
这道题目打开只有上面三个连接,点击查看源码。<?phperror_reporting(0);if (isset($_GET['source'])) { show_source(__FILE__); exit();}function is_valid($str) { $banword = [ // no path traversal '\.\.', // no stream wrapper '(php|file|glob|data|tp...
2021-07-23 17:03:54
190
原创 [SUCTF 2019]EasyWeb
这个题目过滤的很严格,字母数字都不允许使用。<?phpfunction get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_exists($userdir)){ mkdir($userdir); } if(!empty($_
2021-07-15 11:21:46
126
原创 [SWPUCTF 2018]SimplePHP
打开之后发现是一个上传文件的网站,本来以为是上传文件,然后getshell获取flag,后来发现还是年轻了啊。查看文件的链接中有文件包含,首页的源码中有flag的位置。可以利用文件包含查看所有php源码,file.php<?php header("content-type:text/html;charset=utf-8"); include 'function.php'; include 'class.php'; ini_set('open_basedir','/va.
2021-07-14 17:19:29
308
原创 [HFCTF2020]EasyLogin
注册账号登陆之后,可以看到一个GET FLAG 的按钮,直接点击会提示权限不足。查看源码发现了app.js,node.js写的后端框架是koa,逻辑代码应该是controllers下的api.js.koa的框架结构如图所示/** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */function login() { const username = $("#username").val(); ...
2021-07-09 14:13:59
1165
原创 [HITCON 2017]SSRFme
打开题目是有源码的,源码如下:<?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"]; $san
2021-07-08 09:58:47
159
原创 [网鼎杯 2018]Comment
知识点:密码爆破 代码审计 二次注入 文件恢复打开之后是一个发表评论的界面,尝试发表一下,发现需要登录,登录界面提示密码只缺三位需要爆破,直接通过burp即可爆出密码为zhangwei666登录在控制台发现有提示,应该是git恢复,扫一下后台发现了git文件使用githacker恢复源码,但是恢复不全,<?phpinclude "mysql.php";session_start();if($_SESSION['login'] != 'ye
2021-07-07 16:44:24
192
原创 [RCTF2015]EasySQL
打开之后只有注册和登录,注册账户进入之后发现可以修改密码,应该是二次注入,当username=admin"&password=123456时,进行修改密码,可以触发报错这样就可以构造payload来进行sql注入获取表名可以构造如下的payloadadmin"^updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=datab
2021-07-07 10:18:18
120
原创 [CSCCTF 2019 Qual]FlaskLight
打开题目,F12查看源码有提示,提示可以使用search参数,或者使用Arjun直接扫描也可以扫描出search参数,使用下面爆出类,{{().__class__.__base__.__subclasses__()}}[<type 'type'>, <type 'weakref'>, <type 'weakcallableproxy'>, <type 'weakproxy'>, <type 'int'>, <type 'b
2021-07-06 15:02:54
314
原创 [CISCN2019 华北赛区 Day1 Web5]CyberPunk
查看源码有提示可以使用file参数,但是,直接在file跟文件名无法查看,使用php伪协议可以查看到文件内容,/?file=php://filter/convert.base64-encode/resource=index.php解码后是代码,<?php //index.phpini_set('open_basedir', '/var/www/html/');// $file = $_GET["file"];$file = (isset($_GET['file
2021-07-06 10:58:11
197
1
原创 [Zer0pts2020]Can you guess it?
<?phpinclude 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)");}if (isset($_GET['source'])) { highlight_file(.
2021-07-05 11:24:18
88
原创 [CISCN2019 总决赛 Day2 Web1]Easyweb
通过robots.txt文件找到应该有备份文件,查看源码有打开image.php.bak,有源码文件
2021-07-02 15:34:20
91
2
原创 [FBCTF2019]RCEService
要求输入json格式的内容,网上找到了源码,<?phpputenv('PATH=/home/rceservice/jail');if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking attempt detected<br/><br/>'; } elseif (preg_match('/^.*(alias..
2021-06-30 15:28:45
121
原创 [BSidesCF 2019]Kookie
网站提示我们使用admin用户登录,并且有cookie和monster两个账户。将cookie修改为username=admin即可获取到flag
2021-06-30 14:36:59
86
原创 [WUSTCTF2020]颜值成绩查询
知识点:整数型注入 盲注import requestsurl = "http://364ccd4d-2a09-471c-ba97-460b37d0fbae.node3.buuoj.cn/?stunum="result = ""i = 0while(True): i = i + 1 head = 32 tail = 127 while( head < tail): mid = (head + tail) >> 1 #爆表 #payload =
2021-06-30 11:50:03
82
原创 [GWCTF 2019]枯燥的抽奖
查看源代码发现,输入框中的内容提交给check.php,输入check.php发现可以查看源码。fSFdLI1f9Y<?php#这不是抽奖程序的源代码!不许看!header("Content-Type: text/html;charset=utf-8");session_start();if(!isset($_SESSION['seed'])){$_SESSION['seed']=rand(0,999999999);}mt_srand($_SESSION['seed'...
2021-06-30 10:13:36
129
原创 [极客大挑战 2019]RCE ME
打开后是源码,进行源码审计。<?phperror_reporting(0);if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long.");
2021-06-29 17:28:54
214
1
原创 [MRCTF2020]套娃
查看源码有注释代码如下:$query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!');} if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){ echo "
2021-06-29 16:02:33
403
原创 [CISCN2019 华北赛区 Day1 Web2]ikun
题目有提示,要买到lv6,我往后翻了大约7、8页也没有翻到lv6,但题目还有有规律的直接写代码,查看有没有lv6吧。import requestsurl="http://d97cc2f1-db2a-4a7e-b764-b5314ae6faf1.node3.buuoj.cn/shop?page="for i in range(0, 2000): r=requests.get(url+str(i)) print("for"+str(i)) if 'lv6.png' in
2021-06-23 14:41:53
145
1
原创 [BJDCTF2020]EasySearch
<?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,7.
2021-06-21 10:03:16
151
3
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人