- 博客(6)
- 收藏
- 关注
RSS订阅原创 2021-10-14 buuctf SSRFme
SSRFme打开题目,审计代码前面一段会返回我们的IP,然后会将"orange"和我们的IP拼接后进行MD5加密通过url参数输入的内容会以GET命令执行,执行结果会被存入以filename参数的值命名的文件里构造读取根目录并创建文件aPayload:/?url=/&filename=aMd5加密后的orange+IP:2ba7fe56ffb251699ec6e09ae00f2e87查看文件/sandbox/2ba7fe56ffb251699ec6e09.
2021-10-14 22:02:34
305
原创 2021-10-13 buuctf EasySQL
EasySQL先注册登录注册页面的username和Email有过滤,先fuzz一下反斜杠没被过滤用 \ 做用户名密码和邮箱注册一下并登录登录后没发现啥有用的看到了一个修改密码点击submit发现是因为用户名不合理导致的报错由'"\" and pwd='d41d8cd98f00b204e9800998ecf8427e''可猜测原sql大概为select * from user where username='"\" and p...
2021-10-13 20:56:35
1244
原创 2021-10-12 buuctf Flasklight
Flasklight打开题目,flask应该是ssti,但是没有输入点查看源码发现参数search试着传入?search={{7*7}}发现存在ssti注入构造payload:?search={{[].__class__.__base__.__subclasses__()}}编写脚本import requests as resimport timefor i in range(0,400):url="http://...
2021-10-12 21:05:32
211
原创 2021-10-10 buuctf Ezsqli
Ezsqli打开题目,有输入框,题目名提示是sql注入输入1输入2输入3先看看过滤用字典跑跑(字典有限就跑出来这几个过滤)可以看到一个关键的information被过滤了试试无列名注入这里要用到sys库schema_table_statistics_with_buffer和x$schema_table_statistics_with_buffer可以代替information.schema帮我们找到表名借用隔壁的脚本..
2021-10-10 20:29:16
583
原创 2021-10-07 buuctf Easy web
Easy web打开题目,用dirsearch扫到robots.txt找到备份发现只有image可用下载备份addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。源码里还看到,还会把\0,%00,\替换为空.可以传递id和path两个参数,触发SQL注入,前提是要绕过对id和path的过滤。接下来想办法绕过过滤,主要是破坏单引号。测试代码如果传入一个\\0,经addslashes()函数后变成\\\0\\0被过...
2021-10-07 20:20:02
308
原创 2021-09-30 buuctf Can you guess it?
Can you guess it?点击Source查看源码题目告诉了我们flag的位置在config.php不能以config.php结尾这里还用到basename函数basename() 函数会返回路径中的文件名部分假如路径是/index.php/config.phpbasename后会返回config.php,就算后面跟上多余的字符也会返回文件名部分在官方的英文描述中With the default locale setting
2021-09-30 19:47:04
375
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人