- 博客(30)
- 收藏
- 关注
RSS订阅原创 [HFCTF2020]EasyLogin
发现不行换个思路在登陆时构造一个jwt去拿sses。提示没有权限抓包看看发下jwt格式解密看看。打开发现注册,注册一个账号看看怎么事。写个简单的py脚本来实现构造。再到查询界面去替换一下。试试该账号能不能越权。
2024-12-14 19:57:08
233
原创 [CISCN2019 华北赛区 Day1 Web1]Dropbox
抓包改后缀长传成功了但是没有路径,出现下载下载看看读取一下这个文件试试利用相同方法访问其他php文件来看看。
2024-12-10 21:51:02
426
原创 [b01lers2020]Welcome to Earth
打开题目 乱点一下发现跳转,到处点没发现什么东西抓包看看。很好访问了个寂寞,出现了一个js访问一下看看。很好出现flag代码,结果还是打乱的,小丑。咱写一个pychon脚本还原一下。慢慢猜吧,一猜一个不吱声。
2024-12-10 20:18:53
133
原创 [HITCON 2017]SSRFme
那么这句代码的意思就是,把shell_exec中GET过来的结果保存到escapeshellarg中用get(此处get为get请求)接收的参数中,并且这个参数是可以在shell命令里使用的参数。这里的GET不是我么平常的GET方法传参,这里的GET是Lib for WWW in Perl中的命令 目的是模拟http的GET请求,GET函数底层就是调用了open处理。根目录下有flag和readflag文件,但是打不开,我们要利用readflag去读取flag,接下来就到我们标题所说的。
2024-12-10 13:48:51
398
原创 [CISCN2019 华北赛区 Day1 Web5]CyberPunk
字段仍然可能存在SQL注入的风险。注意这里是需要二次注入才行我们先将信息填写然后到修改信息页面在地址栏进行注入在第二次修改的时候我们的注入语句将被触发那我们直接构造读取flag的语句就可以获取flag值了。这行代码的意思是如果检测到SQL注入关键字,就输出这个信息,这与通常的逻辑相反,通常应该是阻止执行SQL查询。尽管代码尝试通过正则表达式来防止SQL注入,但这种方法并不可靠。输入如东西没有任何回应f12看看。进行SQL注入变得困难。第二次注入回显flag。
2024-12-04 19:39:02
182
原创 [NCTF2019]True XML cookbook
这题也是很废手啊爆破太慢可以多开几个重放口从IP段以我的147为例往上走也就是147/24。打开题目输入框,题目给出提示xml。
2024-12-04 00:01:28
233
原创 [GWCTF 2019]枯燥的抽奖
作为随机数生成器的种子。这意味着如果能够预测或获取这个种子,他们就可以预测随机字符串由于随机数生成器的种子是固定的,生成的随机字符串也是可以预测的。这使得可以通过猜测或暴力破解来尝试匹配字符串,我们写一个简单的脚本来跑一下位数。接着放到PHP环境里执行代码,这里注意PHP版本要高于7.1。然后使用php_mt_seed工具跑一下种子。得到种子为:106665040 ,工具下载。结果提交得到flag。
2024-11-18 23:12:24
238
原创 [RCTF2015]EasySQL
这里在注册界面使用报错注入然后点击修改密码才会有回显说明这是二次注入并且payload必须在用户名位置在注册界面尝试时发现and、order等部分关键词被过滤,所以payload为。成功获得一半,因为right、left、mid等函数均被过滤,因此使用reverse函数。得到的是个提示——~RCTF{Good job!ok先来注册一下这里注意邮箱哪里不用添加后缀 ,用户名密码任意。登录后点击用户名并点击修改密码根据题意进行注入。换一张表查数据,使用users表,爆破字段。最终拼接后的flag。
2024-11-16 23:04:31
308
原创 [watevrCTF-2019]Cookie Store
解密后是{"money": 50, "history": []},在此基础上我们思考是不是需要购买并且修改cookis获得flag呢,说干就干。打开题目也是到处点点点发现base64加密,题目也给出了提示啊但是我眼瞎做到后面才看见。
2024-11-16 20:49:25
137
原创 [WUSTCTF2020]CV Maker
ok既然都写了注册那就注册一个账号看看 注册成功后登录,ok登录后也是让我们上传🐎试试。这里使用gif89a来上传🐎。上传成功,也是连接成功。
2024-11-16 20:31:53
169
原创 [CISCN2019 华北赛区 Day1 Web2]ikun
来到了这里点击购买是又发现钱不够啊,改一下价格试试发现购买成功但是需要admin访问才行但是在数据包里有一个jwt 尝试解密看看内容将用户名改为admin试试。将payload放入become属性中,注意这里是点击一键成为大会员然后拦截数据包修改参数become最终得到flag。打开题目也是到处点了后没发现什么东西还是老规矩f12看看也是到处点发现了参数接口但是打开2好像不是这个位置。将jwt值修改为admin后放包 发现返回500说明密钥错误这需要使用jwtcrack来爆破一下密钥才行。
2024-11-16 20:11:09
245
原创 [CSCCTF 2019 Qual]FlaskLight
这里的 mro[2] 相当于返回当前类的上两级,便到了object类,后面的subclasses便是读取object下面的所有子类,后面继续追加 [xx] 可以选择要使用的类(xx表示该类所在位置)接下来使用脚本跑一下是否存在eval、popen危险函数以及import、linecache这些函数(这个函数中也有os模块。提示了两个一个是传参方法还有一个是参数名称 search,我们拼接参数试试模板注入,很好有回显。这里由于globals被过滤了所以需要'glob'+'als'方法来绕过过滤。
2024-11-16 00:14:56
158
原创 [MRCTF2020]套娃
的出现次数,可以使用"%20"、"."代替下划线,因为这里计算的是"%5f"的次数,十六进制不区分大小写,也可以使用"%5F"去绕过。第2个if的中要求内容不能是"23333",但是执行匹配正则表达式,想到达下一关$_GET['b_u_p_t']的值必须是23333%0a即换行符的url编码,在preg_match没启动/s模式(单行匹配模式)时,正则表达式是无法匹配换行符(%0a,\n)的,且会自动忽略末尾的换行符。很好又是代码审计,在代码中,直接使用。简单写一个python脚本跑一下。
2024-11-15 23:10:26
511
原创 [Zer0pts2020]Can you guess it?
可以接受第二个参数,用于指定要去除的扩展名,但如果指定的扩展名并不完全匹配文件名的最后部分,处理可能会不如预期。话不多说点开题目发现超链接点开后发现源代码,掏出我菜的抠脚的代码审计。
2024-11-15 22:21:31
299
原创 [0CTF 2016]piapiapia
或者是去绕过nicename那个preg_match()方法,用数组报错就可以绕过这种判断,可以上传任意参数。然后还有一个地方是可控的是上传照片那个地方,所以这两个是最可能存在漏洞的地方。同时这里出现了序列化,考虑可能是反序列化题目。利用逃逸原理,在nickname字段后面添自己构造的photo字段,最终在profile.php路由中完成文件的包含,读取config.php中的flag。出现跳转点击跳转到index页面进行登录到update页面。很显然这是一个注册页面访问这个页面进行注册。
2024-11-15 18:14:38
333
原创 [FBCTF2019]RCEService
开局输入框,这里题目给出了,是rce打开题目又说了json格式这里尝试了到了这里尝试了很多没有思路了就搜了师傅的wp找到了源码进行分析这里可以看到我添加的注释中preg_match函数中过滤了很多,需要绕过正侧才行,绕过思路上面的正则过滤中,.\nflag在非多行模式下,$%0aflag%0a。
2024-11-12 21:28:30
257
原创 [WUSTCTF2020]颜值成绩查询
在输入单引号没有任何反应尝试输入联合注入,在输入正1的时候没有任何响应后尝试-1发现返回3,这里有一个过滤需要绕过一下。下面操作就是爆破拿下flag了,爆破表,下面两个语句都可以获得表。输入1返回100在输入admin返回exists。之前做的没有发出来过现在在准备比赛就记录一下!注入点显然就是3了尝试爆破数据库名。
2024-11-12 20:01:30
140
1原创 求解盈数问题
用法memset是c/c++中的函数 将s所指向的某一块内存中的后n个字节的内容全部设置为ch指向的。数组sum[]中存放除了自身之外的因子之和,例如sum[i]中存放除了i以外的i的因子之和。ASCll值,第一个值为指定内存地址,快的大小由第三个参数指定,返回值为。可以用筛选法原理计算各个数的因子之和,然后在判定输出。这里需要用到memset函数简单点说就是初始化数组。
2023-11-18 21:15:41
114
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人