读万卷书，行万里路。

文章目录1 web3512 web3523 web3534 web3545 web3556 web3567 web3578 web3589 web35910 web360其他师傅都写得很详细了，只是做个简单的笔记。1 web351POSTurl=file:///var/www/html/flag.php2 web352只限制了协议。url=http://127.0.0.1/flag.php 3 web353十六进制表示：url=http://0x7F000007/flag.php

0 前言这是一个 CSRF 的题目，以前没怎么做过这类题目，还是挺有趣的。HackTrick 中介绍对于这种Cross-site WebSocket hijacking 的介绍挺详细的。传送门1 题解在服务器创建文件 w.html（记得将 IP 替换为自己服务器的 IP）<meta charset="utf-8"><script> function ws(){ var ws = new WebSocket("ws://multichat-cyb

0 前言一个 PHP 反序列化的题目。虽然序列化的的利用链简单，但是还是踩了很多坑。1 题解序列化脚本：serialize.php<?phpclass dir{ public $userdir; public $url; public $filename;}$o = new dir();$tmp = new dir(); $tmp->userdir = $argv[1]; // 需要扫描的目录$o->userdir = $tmp;$o-

浅谈 escapeshellarg 的利用文章目录浅谈 escapeshellarg 的利用0 前言1 参数注入2 逃逸字符2.1 cat flag2.2 freepoint3 总结0 前言escapeshellarg 的作用是把字符串转码为可以在 shell 命令里使用的参数。（escapeshellarg 和 escapeshellcmd 相似，主要看是否有引号）在 CTF 可能被用于：参数注入（开发人员错误的使用 escapeshellarg 函数）逃逸字符（该函数非二进制安全）1

0 前言这次将是最后一篇关于 php文件包含 利用的文章，这几篇文章的内容几乎可以满足绝大多数简单的文件包含题目，以后的文章会更偏向于原理分析、比赛真题、程序分析。在前面几篇文章中，用了 CTFshow 的几道例题来讲解我使用 php支持的协议 来进行 php文件 的利用，而这篇文章则主要讲解条件竞争的 Python 脚本（比较懒，加上最近事情比较多，介绍条件竞争的博客已经非常多了）。1 Payloadimport requestsimport threading# 攻击目标HOST = "

0 前言在 2019 年的 CISCN 《Laravel1》 一题中，寻找利用链可以找到这样一个语句：$f($this-namespace.$item['key'], null) // $f, item['key'] 都可控这时候有 2 种思路：文件读取命令执行由易到难吧。先考虑文件读取，直接利用文件读取相关的函数读取 flag 文件。但经过测试使用 file_get_contents 无法回显。这时候就需要用其他的文件读取函数进行测试，平时就需要积累这些函数的用法。1 文件读取函数

0 前言前面我通过 2 个 CTF 题目来讲解了各种协议在文件包含时的简单用法。这篇文章主要是对 web80 做个简要的分析。1 解题思路在 web79 中只过滤了 php，而在 web80 中过滤了 php 和 data。两个题都是使用 str_replace 进行过滤，所以 web80 的思路和 web79 是一样的。利用大小写绕过 str_replace 函数。（经过测试data 协议无法使用 DATA 绕过。php 伪协议则只能使用 php://input 协议，不能使用 php://fi

0 前言在上一篇文章，我们尝试 5 种协议来实现文件包含。但在 web79 中，代码使用 str_replace 函数将字符串中的 php 替换成 ??? ，所以我们要尽可能的避免使用关键字 php。1 file:// 或 不使用协议方法同 php文件包含-CTFshow-web78。2 http://在上一篇文章中，使用的链接为 https://blog-1256032382.cos.ap-nanjing.myqcloud.com/eval.php，在链接的尾部含有 php 关键字，无法直接

1 file:// 或 不使用协议（将文件直接读入，无法进行编码，会被 php 执行）包含一句话木马，实现代码执行来读取 flag。访问URLhttp://21da7ba4-6818-45bc-903a-7eb4c78a3284.challenge.ctf.show:8080/?file=file:///var/log/nginx/access.log，来确定是否能读取 nginx 的日志。确定可以访问 nginx 的日志后。使用Burp进行抓包，并修改 User-Agent 为 <?

1 前言上次自己手动搭建 AoiAWD，踩了很多坑。于是将自己踩的坑用脚本（Docker）的方式记录下来，为后人铺路吧。2 食用Note：guardian.phar、tapeworm.phar、roundworm等文件将会在部署时保存到当前目录下的 tmp 文件夹中。下载源码git clone https://github.com/slug01sh/AoiAWD # 这个项目地址不是官方的项目地址构建镜像docker-compose build部署镜像（不建议直接使用 -d

文章目录1 信息搜集1.1 这个网站使用了技术1.2 理解网站是怎么工作的1.3 测试常见的目录和文件1.4 检查源文件和请求头1.4.1 源文件1.4.2 HTTP包审计1.5 笔记模版附录采用工作流的方式，让自己减少失误。避免出现在简单题耗费大量的时间。疏忽大意收集信息不齐1 信息搜集1.1 这个网站使用了技术这个问题是非常有必要的，在 Python 中的模版注入会多于 PHP 中。可以使用网页的拓展来测试属于什么语言，例如类似下面的拓展：index.phpindex.html

文章目录1.1 基于运行时的报错注入1.2 FastJson反序列化hint：不会有web手电脑里没IDA吧，不会吧不会吧仔细阅读package.json哦/汪汪1.1 基于运行时的报错注入尝试进行SQL注入，有关键字过滤。union、sleep、benchmark、rlike都被过滤了。猜测为有过滤的字符型注入，尝试使用其他方法进行盲注，或者尝试进行报错注入。优先考虑报错注入。使用name_const方法可以可以导致报错。payload为：# 正常' or (1) or '' or

文章目录1 file_get_content2 include3 反序列化相关信息:hint：无进入网站后，便能显示源码，是一道代码审计题目。<?php $text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];// text 需要等于 welcomeif(isset($text)&&(file_get_contents($text,'r')==="welcome to

文章目录1 Web1.1 题目：GET1.2 题目：Website2 小结四叶草网络安全学院的一次推广活动吧，正好可以试试自己的水平（问就是菜。1 Web1.1 题目：GET题目描述：Hello GET_flAG!!!题目地址：http://0bc68a13.yunyansec.com/根据提示输入任意的Get参数，即可查看源码。http://0bc68a13.yunyansec.com/?1<?phpinclude('flag.php');include('./libs