- 博客(14)
- 收藏
- 关注
RSS订阅原创 polar ctf靶场web之命运石之门
代码中的注释是中文,并且使用了base64编码的文本(5pyJ5peB5YCZ77yM6aqM6K+B56CB5piv5ZCm5aW95L2/5LiN6YeN6KaB),解码后是“有时候,验证码是否好用不重要”。获取密码hunangleiSAMA0712,登录后继续对密码进行爆破,最终获得flag值。3.使用bp对密码进行爆破,将刚刚得到的密码文件复制到payload中。发现存在一个密码文件,里面存放的都是一些密码。2.查看该URL下是否存在可以访问的文件。
2025-06-13 20:57:18
173
原创 polar ctf靶场web之狗黑子的RCE
构造gouheizi2为gougouheiziheizi,原始字符串:gougouheiziheizi,删除中间的gouheizi,剩下gou(开头)和heizi(结尾),组合为gouheizi。由于禁止命令中存在flag和cat,于是构造gouheizi1=c\at /f\lag.php,从而获取flag.php文件的内容。通过POST参数gouheizi2的字符串替换检查以及通过GET参数gouheizi1的命令注入过滤。2.绕过 gouheizi2 的替换检查。
2025-06-13 17:35:37
291
原创 polar ctf靶场web之渗透之王
4.在给定的URL的登录页面如下图所示:尝试用户名admin,密码admin,结果发现密码错误,说明用户名正确。7.进入upload.php页面,上传木马图片,发现成功上传,上传后的地址为./uplado/2.png。解开压缩包后发现里面有一个index.php.bak文件,内容如下图所示:猜测文件内容可能是密码。3.根据步骤2得出的结果,猜测可能是压缩包的密码,于是下载压缩包。6.进入admin页面后,查看源代码发现有两个php文件。解码后得到的结果是:polarctf。然后登录蚁剑拿flag。
2025-06-08 21:11:42
363
原创 polar ctf靶场web之真假ECR
对其内容进行解码flag{heigouzi_p8Sjk58_2JSklNA},然后发现这是错误的flag值。3.尝试列出根目录下有什么文件,输入?cmd=l\s /,返回结果如下图所示:发现flag文件。1.根据代码的逻辑,输入?3.查看flag文件内容。
2025-06-08 20:24:11
223
原创 polar ctf靶场web之简单的链子
可以构造恶意的序列化对象,当该对象被反序列化时,会实例化类A并设置$cmd属性为任意命令。由于析构函数会自动执行system($this->cmd),这将导致任意命令执行。析构函数中的system($this->cmd)允许执行任意系统命令。攻击者通过控制$cmd属性的值,可以执行恶意命令。尝试去查看根目录下是否存在flag文件,继续构造恶意的序列化对象:class A{public $cmd="ls /";能够发现当前页面存在如上图所示的一些文件和目录,但没有发现flag文件的存在。
2025-06-08 20:20:40
379
原创 polar ctf靶场web之非常好绕的命令执行
只允许可见字符:ctype_graph($evil)(ASCII 33-126的字符,如字母、数字、符号)想输出flagggg,结果发现什么都没了,才发现!rm -rf /');将三个变量 $args1、$args2、$args3 与括号拼接,最终生成形如。将空格使用“<”替代,< 符号:在Linux中表示输入重定向,):尝试闭合PHP代码块或注释后续代码,以避免语法错误。的字符串,很难进行利用,可以利用注释符。查看到了此路径下有何文件。(2)利用注释符//
2025-06-04 13:49:30
284
原创 polar ctf靶场web之jwt
JWT(JSON Web Token) 是一种基于 JSON 格式的开放标准(RFC 7519),用于在各方之间安全地传输声明(claims)。打开http://4ccb360f-a314-46a8-9b9d-b0759e96fee6.www.polarctf.com:8090/发现上图出现登录和注册两个功能,首先注册一个新用户。(6)将原本的JWT值替换成新的JWT值,然后点击个人中心,能够发现flag((5)更改username为admin,然后进行编码,获得编码好的JWT值。(1)注册一个新用户。
2025-06-02 21:13:01
678
原创 polar ctf靶场web之注入
时,如果应用程序未对输入进行充分过滤或参数化处理,该输入可能被直接拼接到SQL语句中,导致语句变为SELECT * FROM table WHERE id = '']|//*|//*['。SQL注入是指攻击者通过操纵输入参数(如id)来篡改后端SQL查询,从而执行恶意操作(如数据泄露、数据篡改或数据库接管)。假设原SQL查询为SELECT * FROM table WHERE id = '用户输入的值'。(2)发现URL中所带参数是id=1,尝试修改id的值,如图:发现id是一个注入点。
2025-06-01 20:19:41
323
原创 polar ctf靶场web之PHP是世界上最好的语言
但是由于.会被过滤了,无法正常读取flag.php了,所以使用sys=echo $flag直接输出flag这个变量。_POST[flag1]=8gen1&_POST[flag2]=8gen1,不但绕过第一个if语句,而且还满足第二if语句。和$GLOBALS['flag2']=8gen1参数,这可能不是必要的,并且可能引入额外的复杂性。当flag1和flag2均为'8gen1',且存在504_SYS.COM参数时,检查$c的内容。和$GLOBALS['flag2'],等价于$flag1和$flag2。
2025-06-01 20:11:59
403
原创 polar ctf靶场之写shell
php exit();的有效 Base64 字符:p, h, p, e, x, i, t(共 7 个),填充 1 个 Base64 字(如 a),使总有效字符数为 8(满足 Base64 解码的 4 字节对齐)。要绕过文件写入时的限制(file_put_contents 在内容前添加 <?php exit();),可以利用 PHP 的过滤器(php://filter)配合 Base64 解码破坏前缀的 PHP 代码结构。具体来说,它从GET参数获取文件名,从POST参数获取内容,并在内容前面加上`"<?
2025-05-31 21:28:15
295
原创 polar ctf靶场web之到底给不给flag呢
当 $_POST['flag'] = 'flag' 时:触发第二个条件 $_POST['flag'] === 'flag';所以正确获取flag的方法是使用GET,需要通过GET请求传递两个特定参数来恢复原始flag值。如果请求中既没有GET参数flag,也没有POST参数flag,则输出$qwq并退出。如果POST或GET请求中的flag参数值等于'flag',则输出$QAQ并退出。执行 exit($QAQ),直接输出"我又不想要flag了,滚吧"
2025-05-31 21:06:59
309
原创 polar ctf靶场web之swap
页面下方显示的“.swp file?所以这个正则表达式匹配的是任何包含“sys”后面跟着任意字符(包括换行符),然后是“nb”的字符串。代码定义了一个名为`jiuzhe`的函数,参数是`$xdmtql`。函数内部使用`preg_match`进行正则匹配,模式是`/sys.*nb/is`,其中。== false`,即输入中包含精确的“sys nb”字符串(区分大小写)。`i`表示不区分大小写,`s`表示让`.`匹配包括换行符在内的所有字符。strpos检查的是严格的小写的'sys nb'是否存在。
2025-05-30 13:22:27
702
原创 polar ctf靶场web之简单rce
RCE(Remote Code Execution,远程代码执行) 是一种允许攻击者通过远程网络请求,在目标服务器或应用程序中执行任意代码的安全漏洞。列出根目录下的目录以及文件,再让sys=readfile('/flag');条件判断:仅当通过GET传递参数sys且POST参数yyds值为'666'时,才会执行eval(no($_GET['sys'])),否则输出"nonono"。过滤函数:no() 函数通过正则表达式过滤输入,若检测到敏感关键词(如命令执行函数、常见命令行工具、空格),则终止程序。
2025-05-30 13:05:45
724
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人