- 博客(15)
- 收藏
- 关注
RSS订阅原创 unseping解题思路
2.在bash中,$( )与` `(反引号)都是用来作命令替换的,执行括号或者反引号中的命令。命令替换与变量替换差不多,先完成引号里的命令行,然后将其执行结果作为替换,再重组成新的命令行进行执行。1.printf的格式化输出,可以将十六进制或者八进制的字符数字转化成其对应的ASCII字符内容输出。callable $callback传入数组,0位置为类名(静态类或对象),1位置为方法。找的替代命令(dir没被禁,还可用echo *空格用${IFS}替代)array $param_arr 传入数组为参数。
2024-09-08 15:41:29
408
原创 web方面题目细碎知识点(持续更新)
其次$_SERVER['REQUEST_URL']并不会对参数中的特殊符号进行解密 所以$_SERVER['REQUEST_URL']可以用url编码绕过(也可以加号(+) 左中括号([) 空格( ) 点号(.)绕过'_')遇到$a('',$b)类似结构时,传入a=create_function和b=}system('tac /flag');$_SERVER['PHP_SELF']得到:/php/index.php/test/tt。其中,字符串a中表示函数需要传入的参数,字符串b表示函数中的执行语句。
2024-08-17 16:08:44
1177
原创 [BJDCTF 2020]ZJCTF,不过如此解题思路(preg_replace \e 模式中的漏洞)
2.在php中,双引号里面如果包含有变量,php解释器会将其替换为变量解释后的结果;3.初始payload:.*={${phpinfo()}} ,即 GET 方式传入的参数名为 .* ,值为 {${phpinfo()}}\S*=${getFlag()}&cmd=eval($_POST[1]);所以要换为\S*=${phpinfo()}
2024-08-17 00:44:04
1109
原创 [HDCTF 2023]LoginMaster(quine注入)
但其实这张表是空表,没有password字段,这时就要用quine注入使得输入结果与输出结果相同。1.直接用万能密码测试提示只有admin能登录,接着尝试访问robots.txt提示代码为。有很多字符被过滤,而且要满足输入的输入的password与表中password相同。会使输入值与查询结果完全相同,具体实现过程看上面的链接,有全面的解释。2.看了别人的wp之后,了解到了quine注入这种方式,要满足语句。要进行quine注入首先要知道要用的函数replace。4.本题payload。
2024-08-09 23:42:39
209
原创 [SWPUCTF 2022 新生赛]file_master解题思路
4.文件路径为upload/your_sessionid/your_filename。= `nl /*`意思是把所有文件都打印出来,但是在这里测试不行,应该是权限不够。4.sessionid在抓包时可以得到在Cookie: PHPSESSID=这里。1.打开题目直接查看文件index.php得到。确实无法访问,在控制台尝试,得到flag。1.文件类型必须是image/jpeg。2.要有文件头(测试不添加也行)5.文件内容不能含有php。
2024-08-08 21:32:09
232
原创 md5绕过总结
传入ffifdyop,这个字符串经过md5加密后为276f722736c95d99e921722cf9ed621c。传入ffifdyop后相当于select * from admin where password=''or 1。数组绕过md5($a)===md5($b)&&$a!传入a[]=1&b[]=2即可绕过,数组绕过也可用于弱类型。0e绕过md5($a)==md5($b)&&$a!在转为字符串为'or'6�]��!原理:md5对数组加密结果为NULL。还有要求$a==md5($a)有。
2024-07-31 18:02:02
437
1
原创 是兄弟,就来传你の!解题思路
将文件内容改为GIF<?打开题目显而易见是一个文件上传类型,随便上传个木马文件抓包放入bp中进行修改。怀疑文件内容被检测,测试后发现是php被检测,含有php三个字母会被检测出来。再次更改为GIF<?= `nl /*`即可上传成功,再次访问即可得到flag。文件名后缀改为pht,改文件名后缀是因为已经上传不了木马只能尝试用其他的。改了文件名,文件类型还不能过去,继续尝试加文件头(还是不行)nl类似于cat,nl /*的意思是把所有文件都打印出来。= 是php中的短标签相当于<?
2024-07-30 23:18:28
501
原创 无字母RCE绕过(取反,异或,自增,通配符)
利用php中数组与字符串强制链接,数组会强制转化为Array这个字符,在通过+号来得到我们所需要的字符。但链接上蚁剑后,由于有disable_functions里面的flag文件无法读取,找的别人的wp。取反用法就是对我们想要执行的语句通过取反符号"~"先准备好取反编码后语句,在通过(~)异或“^”,通过该符号可以通过二进制异或操作将两个字符拼接为一个。和 @ 01000000。规则:1^1=0,1^0=1,0^1=1,0^0=0。code=(语句1)(语句2)();
2024-07-26 23:04:18
653
1
原创 bugku never_give_up解题思路(php代码审计)
总结到该题大概是$a中不能含字符‘.’,读取a中文件内容得是bugku is a nice plateform!这段话大概意思是$b的长度大于5,与截取第一位与111拼接得是1114,但第一位截取的结果不能是4。这里就得使用input伪协议进行文件包含$a=php://input,包最下面再复制上面那段话。3.stripos,eregi,substr,php函数了解。2.审计可得,得传入id,a,b,三个参数,逐一分析。%3C是url编码后的'<',所以先url解码得到。1.查看源码发现给出了提示。
2024-07-24 23:42:20
1512
原创 ctfhub-web-ssrf-post请求 解题思路(gopher伪协议应用)
但是使用bp的url编码得不到本题flag,只有用脚本的url编码才能得到flag(不理解,望有高人指点)1.打开题目首先输入url=127.0.0.1/flag.php进行测试,查看源码后发现给出一个key值。构造gopher伪协议,使得在index页面提交带key的post请求以得到flag,注意换行符。将key值输入该页面给出的输入框后,提示只能从127.0.0.1进行访问。2.接着访问flag.php,index.php的源代码。在cmd里运行,位置自选,我的在桌面。构造好之后放入bp编码。
2024-07-23 14:41:03
664
1
原创 泰山杯文件包含解题思路(过滤器选择)
php://filter/read=convert.base64-encode/resource=check.php回显。找到这个编码格式发现可行,但没有flag,尝试访问flag.php发现没报错,将check改为flag即可得到flag。接着尝试了其他的伪协议,input,data提示方法不对,于是回到用filter伪协议测试尝试使用其他过滤器参考文章。说明可以用该方法,接下来利用bp爆破找到可行的编码方式。使用convert.iconv.*时,提示为。打开题目,尝试基础的文件包含。
2024-07-20 18:22:42
231
原创 攻防世界xff_referer解题思路(xff,referer伪造)
就如题目所说,xff和referer是可以伪造的有两种方法。直接在bp抓包把X-Forwarded-For添加进去。再添加referer。
2024-07-16 00:04:28
212
原创 攻防世界warmup解题思路(文件包含,php代码审计)
大概意思为截取page参数中出现?号前的字符串,没有则返回原字符串,并检测page中数据是否在白名单中,接着url解码后又一次重复该过程也就是要验证两次。mb_strpos($haystack,$needle,$offset,$encoding):int|false:返回。2.观察emm类发现有四个if条件,前两个检测参数是否存在且在白名单中,可以先包含白名单中的文件名称进行测试。截取结果仍为hint.php可通过白名单,满足emm类后最底部代码进行文件包含,但发现flag。
2024-07-15 00:45:12
438
原创 攻防世界web2做题思路(php代码审计)
截取字符串,a为开始位置,b为长度。所以构造循环截取miwen,并把它变为ascii码表上一位字符,最后在翻转字符串,即可得到flag。大概意思是循环的将反转后的flag字符串截取,并让它变为ascii码表的下一位的字符。chr:与ord()函数相反,用于返回指定的字符。逆向加密算法,解密$miwen就是flag。ord:用于返回一个字符的ASCII值。要得到本题的flag,需要编写解题脚本。2.接着分析源码中for循环中的内容。
2024-07-13 15:32:18
463
原创 攻防世界supersqli做题思路(堆叠注入,select绕过)
测试可知,words中的id有正常回显,可把flag所在的表和列改名为id所在的表和列。在尝试大小写,双写,加注释也没能绕过select,尝试堆叠注入。prepare用于预备一个语句,并赋予名称,以后可以引用该语句。打开题目,在已知为sql注入时,先测试闭合方式,输入1\。发现报错,接着尝试1' 和 1" 测试出闭合方式为单引号。接着访问1' or 1#即可得到flag。
2024-07-12 15:01:24
582
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人