qq_40327508的博客

进入页面发现需要传入name和pass，源代码发现hint疑似MD5哈希长度拓展攻击,在响应包里面给出啦pass的值得到了 flflflflag.php ，访问重定向到了其他页面，抓包抓回来，页面提示 include($_GET[“file”]) ，扫目录可以得到 dir.php ,包含他可以看到这个页面列出了 /tmp 下的所有文件这里考察的是PHP临时文件包含，其基本是两种情况：利用能访问的phpinfo页面，对其一次发送大量数据造成临时文件没有及时被删除PHP版本<7.2，利用ph

页面比较简陋扫目录扫出一个secret目录在url加上secret参数，发现被加密随意输入一些他报错了~。我们发现了关键处的代码这里的加密算法使用的是RC4，密钥泄漏了。将所发送内容解密之后会被渲染，因此考虑到可能存在模版注入。在网上找了一个RC4加密脚本,再次基础上输入密钥并尝试文件读取。import base64from urllib.parse import quotedef rc4_main(key = "init_key", message = "init_message"):

一直自动跳转/die/页面，抓包尝试查看chase目录后面就一路找，但是没找到什么有用的信息看了wp才知道，关键点在js文件中/static/js/door.js最后来到static/js/fight.js重新排序flag即可from itertools import permutationsflag = ["{hey", "_boy", "aaaa", "s_im", "ck!}", "_baa", "aaaa", "pctf"]item = permutations(flag)f

考点：ssti注入 flask模板根据题目等提示是flask模板，测试一下获取所有的类可以看到很多类，寻找那些可以包含文件或者命令执行的类例如 file、popen等例一：warnings.catch_warnings类{{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('ls').read()")}}

查看包头访问home.php,查看urlhttp://4ab7acda-aefd-434e-9e66-647331d51676.node3.buuoj.cn/home.php?file=system可能存在文件包含漏洞，使用php伪协议尝试获取源代码源码：<?phpsetcookie("y1ng", sha1(md5('y1ng')), time() + 3600);setcookie('your_ip_address', md5($_SERVER['REMOTE_ADDR']),

考点ssrf redis反弹shell打开网站，查看源代码查看文件访问下ip经过测试是ssrf漏洞使用burp爆破内网ip

打开题目是登录界面，使用burp爆破出密码是password登录上传文件，以及url里有拼接file参数，可能有文件包含漏洞使用php伪协议获取upload源码<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <form action="" method="post" enctype="multipart/form-data"> 上传文件 <input type="fil

通过抓包登陆界面，发现存在ssrf漏洞在通过ps猜测是ssrf打mysql使用gopherus工具生成ssrf打mysql 的payload之后放到burp中把参数在url编码一次查看是否成功写入文件成功写入，使用蚁剑连接

在源代码中可以看到sql语句因为过滤了’ 等使用regexp注入脚本import requestsimport time as turl ="http://92c75efe-44ec-4055-8ca8-89aaf5eee173.chall.ctf.show/"k = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"flag = ""data = { 'username':'admin\\',

考点：盲注 + 无列名注入使用异或注入发现页面回显不一样进一步判断接下来开始获取列名，但是因为or被过滤使用sys.x$schema_flattened_keys绕过使用脚本获取表名import requestsurl = "http://9c35ab79-5056-4de1-87fe-0418ebc00b82.node3.buuoj.cn/index.php"flag = ""payload = "1^(ascii(substr((select group_concat(tab

[HFCTF2020]BabyUpload题目直接给了源代码<?phperror_reporting(0);session_save_path("/var/babyctf/");session_start();require_once "/flag";highlight_file(__FILE__);if($_SESSION['username'] ==='admin'){ $filename='/var/babyctf/success.txt'; if(file_e

[安洵杯 2019]easy_web考点：MD5强类型绕过，命令注入绕过进入发现img参数可能有任意文件下载通过2次base64解密和一次hex转字符串得到555.png再通过相同的方式获取到了index.php的源码<?phperror_reporting(E_ALL || ~ E_NOTICE);header('content-type:text/html;charset=utf-8');$cmd = $_GET['cmd'];if (!isset($_GET['img'])

进入后是这样的查看源代码发现注释base32解码得到1nD3x.php，发现是源码 <?phphighlight_file(__FILE__);error_reporting(0); $file = "1nD3x.php";$shana = $_GET['shana'];$passwd = $_GET['passwd'];$arg = '';$code = '';e...

buuctf web [CISCN2019 华东南赛区]Web11进入后页面是这样的可以通过最低端发现是Smarty SSTI，又从右上角得知是通过ip注入使用burp构造X-Forwarded-For开始注入从返回14看出确实存在注入，接下来根据smarty手册返回版本号等最后读取flag...