Yn8rt-优快云博客

原创 thinkPHP3.2.3sql注入漏洞

前言攻敌所必救：ThinkPHP中的常用方法汇总总结:M方法，D方法，U方法，I方法Thinkphp3.2.3 安全开发须知搭建：首先第一步就是必须先放在www目录下(我是windows用的phpstudy)！！！！创建数据库，表名一定与你接下来要M的名字的相对应连接数据库的文件不多说了，自己配置：ThinkPHP/Conf/convention.php配置控制器：\WWW\thinkphp3.2.3\Application\Home\Controller\Ind

2021-10-05 18:40:23 4524

原创 Java静态\动态代理之百炼成仙

Java代理在代理之前，我们需要知道我们代理的东西是什么比如说我们有一个原对象，我们不直接去访问他，我们通过代理去访问它，这么做的目的是，以后不用修改原对象，可以通过修改代理类，来实现具体的方法，来看具体例子：首先要有一个接口public interface IUser { void show(); void create(); void update();}接着实现一下public class Userimpl implements IUser {

2022-02-25 00:06:25 1019

原创 JAVA之URLDNS链再分析

URLDNS链再分析readObject()方法Java反序列化会调用对应的readobject方法比如我创建一个类test。序列化test类就会调用writeobject方法，反序列化就会调用test类的readobject方法。默认是存在的。可以重写readobject方法在HashMap类中，恰恰存在readobject方法以ysoserial的payload为例，作者有明确指出 * Gadget Chain: * HashMap.readObject() *

2022-02-22 16:36:16 1118

原创 VNctf2022 web

VNctf2022[InterestingPHP]复现发现 phpinfo() 被ban，但是依旧可以通过 ini_get_all() 来读取php相关的配置信息，包括 disable_functions/disable_class/open_basedir 等信息都是⽐较重要的。var_dump(get_cfg_var(%27disable_functions%27)); //这个在本题目不可用exp=print_r(ini_get_all());使⽤ scandir() 来探测⽬录⽂件发现存

2022-02-21 12:33:17 4043

原创 ctfshow 2022新春迎新赛(详细解说)

ctfshow 新春迎新赛热身<?php/*# -*- coding: utf-8 -*-# @Author: h1xa# @Date: 2022-01-16 15:42:02# @Last Modified by: h1xa# @Last Modified time: 2022-01-24 22:14:02# @email: h1xa@ctfer.com# @link: https://ctfer.com*/eval($_GET['f']);直接写一句话：?

2022-02-11 15:14:35 1591

原创 Buuctf之web(五)

Greatphp使用 Error/Exception 内置类绕过哈希比较可见，需要进入eval()执行代码需要先通过上面的if语句：if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) )这个乍看一眼在ctf的基础题目中非常常见，一般情况下只需要使

2021-12-14 20:45:13 7041

原创 Buuctf之Web(四)

[HFCTF2020]JustEscapeWPvm2沙盒逃逸涉及到nodejs不会[网鼎杯2018]Unfinish脚本# -*- coding: utf-8 -*-# @Author : Yn8rt# @Time : 2021/9/10 14:38#coding:utf-8import requestsfrom bs4 import BeautifulSoupimport timeurl = 'http://f8933a3b-5f22-4bde-bde9-7a49c4b

2021-11-22 09:06:51 2292

原创 Trollcaveb靶机渗透测试

简介：一个社区论坛网站“God himself cannot hack this website.” – dragon, site admin很牛逼的介绍啊！！Trollcave渗透测试案例：1.了解其功能主要功能：欢迎导语页面，密码重置，法律宗教2.发现服务（nmap）1.发现主机IPnmap -sP2.发现端口（服务）nmap -sS -O（显示操作系统信息） -P0（无Ping扫描） -n（不进行dns解析） -Anmap -sS -O -P0 -n -A关于-P0：无p

2021-11-06 08:59:10 696

原创 buuctf刷题之旅(三) 知识点+坑

[NCTF2019]True XML cookbookWP最后一位不一定是11，需要自己内网探测打2021的geek大挑战了[MRCTF2020]套娃WP[极客大挑战 2019]RCE MEWP[CISCN2019 华北赛区 Day1 Web2]ikunJWT、pickle反序列化WP[WUSTCTF2020]颜值成绩查询import requestsurl= 'http://b91f52c4-276b-4113-9ede-54fb712ac6da.node3.buuoj.cn/

2021-11-05 07:28:40 1731

原创 ctfshow xxe

前置知识理解漏洞之 XXE 漏洞从XML相关一步一步到XXE漏洞参考WPweb373error_reporting(0);libxml_disable_entity_loader(false);$xmlfile = file_get_contents('php://input');if(isset($xmlfile)){ $dom = new DOMDocument(); $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTD

2021-10-21 10:23:35 2486

原创 ctfshow thinkphp专题

前言跟进一步增强php的代码审计能力，了解tp框架从最基础的开始学习，目的不是为了一把梭，而是要明白它的原理和设计思路，为我们以后自主调试挖洞打下基础web569——路由本题使用的版本为3.2.3ThinkPHP3.2.3完全开发手册-架构-URL模式入口文件是应用的单一入口，对应用的所有请求都定向到应用入口文件，系统会从URL参数中解析当前请求的模块、控制器和操作：http://serverName/index.php/模块/控制器/操作这是3.2版本的标准URL格式。payload

2021-10-13 18:54:42 909

原创 ThinkPHP5 RCE漏洞代码审计

前言thinkphp下载漏洞影响版本：5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30未开启强制路由导致RCE搭建ThinkPHP 5.1框架结合RCE漏洞的深入分析thinkphp-5.1.29tp版本：5.1.29php版本：7.2.10(必须7以上)测试：http://www.yn8rt.com/thinkphp5.1.29/public/?s=index/think\request/input?data=

2021-10-12 21:02:37 1104

原创 thinkPHP3.2.3反序列化漏洞

前言ThinkPHP v3.2.* （SQL注入&文件读取）反序列化POP链利用链：__destruct()->destroy()->delete()->Driver::delete()->Driver::execute()->Driver::initConnect()->Driver::connect()->搭建：路径：/Application/Home/Controller/IndexController.class.phppublic fu

2021-10-10 14:46:53 1562

原创 ctfshow web入门命令执行

命令执行web29<?phperror_reporting(0);if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__);}?>考点：绕过特殊字符的过滤payload：?c=system('ls');//flag.php index.php?

2021-10-07 11:21:04 2794

原创 ctfshow 中期测评

web486——后台扫描开局假页面，扫描后台CTF常用字典整理：.index.php.swpindex.php.swpindex.php.bak.index.php~index.php.bak_Edietplusindex.php.~index.php.~1~index.phpindex.php~index.php.rarindex.php.zipindex.php.7zindex.php.tar.gzwww.zipwww.rarwww.zipwww.7zwww.ta

2021-09-27 20:03:46 2169 2

原创 Ear Music CMS代码审计

Ear Music CMS任意文件下载漏洞用注册的用户上传一首歌，并且用管理员账号通过审核，查看歌曲点击下载lrc歌词，抓包：GET /earmus/template/default/source/down.php?type=lrc&id=1 HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0Accept: text/html

2021-09-25 12:59:47 891

原创 Beescms代码审计

Beescms代码审计之任意文件上传漏洞前言本次代码审计过程主要针对文件上传漏洞初级审计流程的思路进行复现关键代码文件上传： $_FILES,type="file"，上传，move_upload_file()等开始搜索type="file"字段发现不少东西：选择第二个,发现了用户自定义的函数：跟踪一下：结合实际情况进行抓包通过参数定位到代码中进行确定：可以确定确实是这一块的代码两处滤点：针对太大的图片进行了过滤将图片类型与传入的参数$type数组进行了比较，判断是否满足数组

2021-09-20 12:43:51 849 3

原创淡然qqyw图标点亮系统代码审计(sql注入)

前言此篇是关于sql注入挖掘的初级审计思路本cms的安装程序在ino.php，数据库需要5.5的，5.7会报错关键字搜索SQL注入： select insert update mysql_query mysqli等(注意大写)开始：(注意点击不区分大写，我这里没有点击)当点开这个文件的时候基本会发现全是无过滤的sql语句随机抽取一个函数进行全局搜索在v144.php中有应用，那么我们就去访问一下v144.php定位一下这句话：从哪里来，滚回哪里去！需要域名在sohuquan这个

2021-09-15 17:55:03 1816 5

原创 ctfshow之黑盒测试380-395

前言总结黑盒测试思路可能用到的字典xy123admin888/install/index.php/clear.php/page.php/alsckdfy/index.php/debugweb380——测试URL参数web381——找后台web382、383——sql万能密码web384——爆破开始过滤爆破字典生成：import strings1=string.ascii_lowercase # 小写字母a-zs2=string.digits # 数字f=op

2021-09-15 15:34:57 873

原创 ctfshow web入门 SSRF(超详解)

前言SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）https://ctf-wiki.org/web/ssrf/https://www.freebuf.com/articles/web/260806.htmlweb351<?phperror_reporting(0)

2021-09-08 16:54:27 7546 1

原创 ctfshow吃瓜杯之web(除魔女)详解

shellme搜索ctfshow即可热身<?phpinclude("flag.php");highlight_file(__FILE__);if(isset($_GET['num'])){ $num = $_GET['num']; if($num==4476){ //参数等于4476不行 die("no no no!"); } if(preg_match("/[a-z]|\./i", $num)){ //匹配到小写字母和.不行

2021-09-06 19:01:00 1158 2

原创 ctfshow web 反序列化(web254-278)

知识储备随笔分类 - PHP常识PHP中的魔术变量：__sleep() //执行serialize()时，先会调用这个函数__wakeup() //将在反序列化之后立即调用（当反序列化时变量个数与实际不符时绕过）__construct() //当对象被创建时，会触发进行初始化__destruct() //对象被销毁时触发__toString()： //当一个对象被当作字符串使用时触发__call() //在对象上下文中调用不可访问的方法时触发__callStatic() //在静态上下文中

2021-09-04 12:54:50 8949 1

原创 2021DASCTF July X CBCTF 4th(wp)

CRYPTOYusa的密码学签到——BlockTricknc连接以后出来哪个就复制哪个，最后得到flagWEBezrce此题属于是YAPI接口管理平台RCE，利用csdn上找到的exp可以直接打：YAPI接口管理平台RCE复现-附expcat flag这个题目有点脑洞了首先是访问/var/log/nginx/aeecss.log得知真正的flag文件然后写了一个ascii的不可见字符的fuzz字典生成脚本： <?php $myfile = fopen("ascii.txt"

2021-08-25 19:17:55 911

原创 ctfshow web入门 sql注入(超详解)201-250

web201查询语句//拼接sql语句查找指定ID用户$sql = "select id,username,password from ctfshow_user where username !='flag' and id = '".$_GET['id']."';";返回逻辑//对传入的参数进行了过滤 function waf($str){ //代码过于简单，不宜展示 }需要学会：使用--user-agent 指定agent --user-agent="Mozilla/5

2021-08-23 08:58:15 5297 3

原创 buuctf刷题之旅之web(二)

2021-5-23[BUUCTF 2018]Online Tool题目： <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_GE

2021-08-19 11:53:51 4621

原创 buuctf刷题之旅之web(一)

2021-01-15第一题:[HCTF 2018]WarmUp这里懒得上传图片了，所以就直接笔记了源代码里面有1.source.php，所以打开以后还会发先2.hint.php1打开后会发现是代码审计<?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["s

2021-08-17 19:08:43 6635

原创 ctfshow之xss(有图易操作)

XSS平台document.cookie 获取饼干的js代码推荐xss平台：http://xsscom.com/ ， https://xss.pt/JavaScript的 document.cookie 将以字符串的方式返回所有的cookie，类型格式： cookie1=value; cookie2=value; cookie3=value;2021-08-06web316(反射型)利用xss平台里的代码进行攻击： http://xsscom.com/建造完项目以后，复制代码：<sc

2021-08-14 19:03:13 740

原创 ctfshow-sql注入-超详解(172-200)

前言今天是2021/7/25，正式进入sql注入专题，目标：加强python的学习，达到通过写python脚本，加快注入速度的程度，掌握sql在php编程中的一系列查询语句。新手区可以看看Y4师傅以前记录的小笔记SQL注入之MySQL注入的学习笔记(一)SQL注入之MySQL注入学习笔记(二)2021-7-25web172、web173——hex() 、to_base64()查询语句//拼接sql语句查找指定ID用户$sql = "select username,password fro

2021-08-05 20:05:16 3104 1

原创 ctfshow-php特性-超详解(干货)

PHP特性web89<?phpinclude("flag.php");highlight_file(__FILE__);if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; }}?>intval函数(获

2021-08-05 20:02:29 8604 9

原创 ctfshow文件上传-超详解

文件上传web153user.ini官方文档：自 PHP 5.3.0 起，PHP 支持基于每个目录的 INI 文件配置。此类文件仅被 CGI／FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果你的 PHP 以模块化运行在 Apache 里，则用 .htaccess 文件有同样效果。除了主 php.ini 之外，PHP 还会在每个目录下扫描 INI 文件，从被执行的 PHP 文件所在目录开始一直上升到 web 根目录（$_SERVER['DOCUMEN

2021-08-05 19:59:53 437

原创 ctfshow文件包含-超详解

文件包含web78-79<?phpif(isset($_GET['file'])){ $file = $_GET['file']; include($file);}else{ highlight_file(__FILE__);}?>伪协议：?file=php://filter/read=convert.base64-encode/resource=flag.php?file=data://text/plain;base64,PD9waHAgc3lzd

2021-08-05 19:59:05 2368

原创 ctfshow信息搜集

信息搜集1-20前台JS绕过js前台拦截 === 无效操作当无法f12或者右键查看源代码的时候可以在URL栏view-source:http://网站/ 查看源码协议头信息泄露没思路的时候抓个包看看，可能会有意外收获robots后台泄露robots.txt文件phps源码泄露phps源码泄露有时候能帮上忙关于 phps,phps 其实就是 PHP 的源代码文件, 通常用于提供给用户查看 PHP 代码, 因为用户无法直接通过 Web 浏览器看到 PHP 文件的内容, 所以需要用 phps

2021-08-05 19:57:06 1672 2

原创 ctfshow-文件包含&文件上传(详解)

文件包含web78-79<?phpif(isset($_GET['file'])){ $file = $_GET['file']; include($file);}else{ highlight_file(__FILE__);}?>伪协议：?file=php://filter/read=convert.base64-encode/resource=flag.php?file=data://text/plain;base64,PD9waHAgc3lzd

2021-07-20 11:07:39 4702

原创 [BJDCTF2020]ZJCTF，不过如此—preg_replace代码执行之看了包会(代码审计5)

[BJDCTF2020]ZJCTF，不过如此题目：<?phperror_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1>&lt

2021-06-07 17:50:38 247 3

原创 [CISCN 2019 初赛]Love Math详细理解(代码审计四)

[CISCN 2019 初赛]Love Math扫盲：1.preg_match_all()函数：<?php$userinfo = "Name: <b>PHP</b> <br> Title: <b>Programming Language</b>";preg_match_all ("/<b>(.*)<\/b>/U", $userinfo, $pat_array);print_r($pat_array[0]);

2021-06-07 08:48:32 382

原创 [GXYCTF2019]禁止套娃-无参数rce详细分析(代码审计三)

[GXYCTF2019]禁止套娃做这个题的时候是不知道禁止套娃是什么意思的，等完全理解((?R)?\)\)了这个正则匹配表达式以后就可以明白，所谓的套娃就是什么考点：无参数rce信息泄露利用dirsearch开延时，会扫出来.git相关的泄露，利用githack将源码down下来<?phpinclude "flag.php";echo "flag在哪里呢？<br>";if(isset($_GET['exp'])){ if (!preg_match('/data:\

2021-06-02 14:59:24 366 2

原创 [BJDCTF2020]Mark loves cat细节详解建议收藏(代码审计一）

解题一：信息泄露.git泄露：dirsearch扫描都是推荐低线程哈-s 1，然后githack下载源码解题二：可变变量的覆盖问题index.php源码泄露：<?phpinclude 'flag.php';$yds = "dog";$is = "cat";$handsome = 'yds';foreach($_POST as $x => $y){ #post出入参数：?test=123将这种格式 $$x = $y; #若传入x=y，则$x=y $test=

2021-05-31 09:52:44 750 1

原创 [网鼎杯 2020 青龙组]AreUSerialz 逻辑最清晰的解题思路&知识点补充（代码审计二）

[网鼎杯 2020 青龙组]AreUSerialz先扫盲：PHP ord() 函数其返回值为ASCII码file_put_contents() 函数把一个字符串写入文件中，如果成功，该函数将返回写入文件中的字符数。如果失败，则返回 False。=== 需要值和其所属的类型都符合要求 ‘2’ === 2 false== 值符合要求即可 ‘2’ == 2 true题目：<?phpinclude("flag.php");highlight_file(__FILE__);class

2021-04-25 22:39:57 392

原创 lampiao靶机渗透测试

lampiao靶机渗透测试笔记简单介绍：Would you like to keep hacking in your own lab?Try this brand new vulnerable machine! "Lampião 1".Get root!Level: Easy翻译：你想在自己的实验室里继续黑客攻击吗？试试这个全新的易受攻击的机器！”Lampião 1”。获得root权限级别：简单下载地址：https://www.vulnhub.com/ent

2021-04-03 10:49:41 1357

原创谷歌语法(详解+举例)

一、谷歌语法是什么谷歌语法就是利用搜索引擎在渗透测试过程搜索到特定页面的一种语法二、如何利用谷歌语法谷歌语法基础的符号：“xxx”: 将要搜索的关键字用引号括起来 (表示完全匹配，即关键词不能分开，顺序也不能变)例如：腾讯课堂如果不加“ ”的话，就会针对腾讯和课堂进行拆分，既对腾讯进行搜索也对课堂进行搜索，所以加上“ ”的话就会对腾讯课堂进行绑定，只对腾讯课堂进行搜索+：“xxx” +baidu.com搜索xxx与baidu.com 相关的内容例如：腾讯课堂 +ke.qq.com，那么这里

2021-04-01 16:19:32 33552 4

hackbar2.1.3-master.7z

空空如也