- 博客(25)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 2024 CISCN总决赛 ShareCard
只要可以伪造jwt就可以篡改avatar变量,然后进行目录穿越读取flag文件,至于怎么伪造jwt我们可以需要先获取到jwt,此次的jwt是RS256也就是使用公私钥进行加解密。看一下show.html文件内容就会明白了,我们如果单纯的想着name和signature去进行ssti漏洞肯定不行的,会直接将我们输入的输出到页面上。发现有一个参数style,可以让我们任意写入内容到style.css文件里,并且created.html在模板渲染的时候还会引入style.css。
2024-07-29 13:06:42
1099
原创 CISCN 2023 初赛
文件上传页面upload.php页面源码显示了出来可以看到,upload.php判断我们上传的文件必须是zip文件,然后会对其进行解压此题我们可以通过软链接的方式做题但不能文件链接文件,因为它是在tmp目录下解压文件的。我们需要对目录进行软链接首先。
2024-05-08 19:03:08
1134
原创 2024 高校网络安全管理运维赛 部分题解
source路由给了源代码代码的大致逻辑就是url接收参数以后,会将其进行md5加密判断如果该参数md5的值在redis服务里,就会进行反序列化,如果不在就会将其进行base64加密然后保存到redis数据库中根据题目的描述嗷,我的上帝,怎么还会有人在用python:3.7.1。flag文件位置:/flagpython 3.7.1的urllib模块存在CRLF头部注入,可以让我们篡改头部信息然后请求内网的redis服务题目是不出网的,公告说了,但是我没有看见所以测试了半天、
2024-05-07 21:17:38
1432
原创 HTTP 请求走私漏洞
我们总结一下,在做实验的时候遇到的问题当前端是使用CL处理请求包的时候,CL的长度与正文的长度可以一致,也可以减,但是不能超过正文的长度当后端是使用CL处理请求包的时候,CL的长度与正文的长度不能一致,需要加1,不能减。
2024-04-30 19:07:44
827
4
原创 XYCTF 2024 Web
用户名密码:admin/asdqwe进入以后就是ssti模板注入,但是禁用了{ [ ’ "后来发现只要输入中文,就可以进行模板注入了[ 方括号被禁用可以使用__双引号单引号被禁用,使用使用request.values.a绕过此题的源码。
2024-04-29 10:49:40
1597
1
原创 2024 红明谷ctf
源代码根据分析通过访问根路由是可以直接得到题目的源代码,然后通过rust_code路由可以执行rust代码我们可以测试一下已经执行成功了,下面我们尝试读取文件内容不允许我们使用std标准库,那我们就使用宏定义去读取文件内容可以读取,但是只有一行,但也不影响读取flag文件了。
2024-04-06 16:28:38
1271
原创 SICTF 2024
那就很明显了,联合查询user()发现最高权限是root,然后我就试试能不能读取文件,发现load_file可以读取\。跑了一遍字典,发现注入的东西有很多,空格、or、and,但是没有禁用union和select。由于这是thinkphp框架写的,所以网站的首页是在app----controller目录里。还有两题Java,比赛到后面的时候也没时间去解了,跑去看vnctf了。成功的来到了这里,接下来就是一个老生常谈的一个考点了,环境变量注入。很简单的逻辑,就是md5弱比较、正则回溯,然后反序列化而已。
2024-02-21 20:05:49
693
原创 2024VNCTF Web
这题是给了源代码的$key$value代码分析一下,handleFileUpload函数是用来上传文件,并且是将文件上传到tmp目录里$key$value关键的代码还是在这里,进入if判断以后,执行waf函数waf函数主要是对value进行了过滤,后面的key并没有任何的过滤而putenv函数是将键与值添加到环境变量里,这里就会引发一个环境变量注入漏洞而这一块的代码,是说我们要传入guess值等于$func变量(这里是一个create_function创建的匿名函数)这一块我们要先调试一下。
2024-02-21 19:57:39
1583
3
原创 2024 i春秋-春秋杯 冬季赛
此漏洞可以执行命令,但是是没有回显的,当时想反弹shell直接在.gitmodules文件里写反弹shell的命令但是发现怎么弄也不行,后来经过本地调试,发现只要把反弹shell的命令写入到exp.sh里面,然后在.gitmodules文件执行这个脚本就可以反弹shell了。前面的流追踪完了,后面也就没啥可看的了,后面也就还能追踪到一个flag.txt,但是只能dir命令执行后发现有flag.txt没有查看文件内容,所以当时我疑惑了很久。
2024-01-24 13:53:43
4518
原创 session反序列化
php会自动反序列化会话文件是因为php会话管理器(Session manager)在默认的情况下会自动处理会话数据的序列化和反序列化过程。在PHP种,会话数据通常存储在服务器上的会话文件种(默认路径:/var/lib/phpx/sess_xxxxxx)。当会话数据被写入会话文件时,php会自动将会话数据序列化为字符串,以便在文件中进行存储。而当会话数据需要被读取时,PHP会自动将会话文件中的序列化字符串反序列化为原始的php数据结构。
2023-12-21 21:20:14
483
1
原创 [SWPUCTF 2023 秋季新生赛]If_else
要是按照它这个逻辑,就是我们要写一个判断条件,既要满足true又要满足false,这种条件根本是不存在的。在操作之前,还尝试了直接访问check.php,发现文件不存在。那么很明显就是当我们在首页提交check参数以后,会将参数内容写入到check.php里,然后进行执行php代码,按照这个逻辑,我们很容易就能想到闭合操作。
2023-11-19 20:19:16
409
原创 [NUSTCTF 2022 新生赛]ezProtocol
你刚才参观过http://localhost/吗,上面用的是X-Forwarded-For,那么这里用的就是referer。数组绕过,直接就报错了,说明用的可能是强比较了,至于报错,那是因为将我们传入的参数强行转换成字符串类型了,所以才报错了。但是发现还是一样的结果,这是为什么呢,这个要注意其实是因为我们最后一行多了一个换行,将第八行删除,再发包就可以了。生成成功,但是打开文件会发现文件内容是乱码的,所以我们要对其进行一下url编码。p1和p2内容不能相同,但是md5值必须相同,尝试一下数组绕过。
2023-11-19 19:14:07
677
原创 RCE-命令执行-1
函数是执行php代码,像/?现在不能输入字母,只能使用符号,那就只有反引号了。很明显就可以看到第一个就是/bin/cat,所以想读取flag就使用这个方式去读取就行了。正常来说,看到了这么少的代码,绕过的手法有很多,但是这个题目的服务器php版本很低。这个版本下,取反绕过用不了,要想使用简单的方式绕过的话,只能使用通配符?cat命令的绝对路径,/bin/cat替换成/?最后,我们闭合php的代码,然后插入这个短标签。然后使用echo,看一下,有哪些可能性。但是还有一个问题我们要解决,那就是。
2023-07-29 20:35:42
205
原创 Web命令执行
从上面的blacklist里面,可以得知,cat,空格,flag,“.” 都被过滤了。像这种替换操作,如果是字符串我们正常可以双写绕过,我们先看看可以执行哪些命令。命令执行成功,那么我们使用ls看看当前目录下有什么文件,注意。根据上面的分析我们可以得知,如果想要执行命令,我们需要绕过。了,那么接下来肯定是需要查看它里面的文件内容了。常规查看命令:cat flag.php。结尾的,但是被禁了,所以我们可以用。里面,所以要双写绕过一下。
2023-07-07 20:19:44
376
原创 Web漏洞环境搭建
PhpStudy+DVWA环境 搭建phpstudy 2016下载地址:下载地址,点击跳转下载完之后,将东西解压到C盘里的web目录在这个目录里找一个phpStudy可执行程序,双击打开运行程序然后下载DVWA下载地址下载完以后,将其解压缩,然后拖动www网站根目录里接着修改配置文件内容路径:C:\web\WWW\DVWA\config配置文件:config.inc.php.dist打开方式以记事本打开,修改mysql的用户和密码,因为是刚安装好的phpstudy,所以默认用
2021-07-06 13:16:37
421
原创 Centos7使用KVM制作img镜像
使用KVM制作img镜像1、利用SSH远连工具,上传镜像2、接下来就是使用KVM新建虚拟机3、提供刚才上传的镜像4、之后的内存设置默认就行,如果需要提升的,可以加一点接下来就是最重要的一步,为“虚拟机启用存储”5、点击图片中的加号,新建卷6、然后改格式为RAW,名称后面改为img大功告成!!!! 最后提醒一下,img文件创建的路径一定不要忘...
2020-12-10 10:03:59
2562
2
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人