- 博客(15)
- 收藏
- 关注
RSS订阅原创 [BSidesCF 2019]SVGMagic
svg标签属性(应该是对图片尺寸的描述) => 保证图片够大,包含全部flag。随便上传一个svg图片 抓包发现有数据格式是svg+xml。这个题目说是SVG,环境中告诉我们是将SVG转换成PNG。proc/self/cwd ==> 代表当前路径。svg是基于xml的 => 容易想到xxe注入。
2024-06-03 13:14:53
236
原创 [CSAWQual 2019]Web_Unagi
且在About中告诉我们了,flag位于 /flag ==> 使用file协议直接读取本地文件**(这里指的是,我们上传文件给服务器,服务器解析文件,读取的是服务器的本地文件,也就是flag文件)**|:管道符,将前一个的结果(2.xml文件内容),作为下一个命令的输入 ==> 将内容进行编码的转换。发现是xml数据格式,且存在上传文件的功能 => 联想到 XXE注入(引用外部实体)-t:指定输出文件的编码格式是UTF-16BE(大端字节序)-f:指定输入文件(2.xml)是UTF-8编码格式。
2024-05-31 11:48:50
284
原创 [MRCTF2020]Ezaudit
这个题来说:我们要在 PHP5.2.1 - 7.0.X版本区间运行代码,这样得到的私钥才是正确的。用脚本将公钥转换为可以被Php_mt_seed识别的数据 => 破解出种子 ==> 运行得到私钥。中的 sql查询语句) password变量可控(单引号闭合,后面加注释符)第一时间竟然没想到源码泄露www.zip,还是自己扫目录扫到的。注意PHP版本,不同的PHP版本爆破出来的结果是不一样的。给出的www.zip文件中只有一个index.php。根据index.php中的代码,
2024-05-30 11:41:29
387
原创 Buu - [GKCTF 2021]easycms
这是一个chanzhiEPS搭建的网站,看到版本是7.7,去网上搜相关版本有没有漏洞,题目中提示了后台密码是5位的弱口令。可以选中首页的代码,这样的话不需要找目录了[ 每一种框架都可能存在自己的目录检索方式 ]这后面的数据一看像是base64编码后的数据,进行解码,发现是一个文件对应的绝对路径。尝试将这个路径改为/flag=>base64编码,然后执行下载得到文件,我在这里抓包修改下载链接,不知道为什么下载出来的不对。这里得到的是.zip文件,直接用010打开即可。
2024-05-22 14:14:27
200
原创 Buu - [BJDCTF2020]EzPHP
打开环境看源码,有个base32编码的数据,解码之后得到访问解码出来的路径 - 代码审计-> 也就是说,我们所有以GET方法传入的参数,都会经过这个正则匹配进行url编码绕过(但一般的url编码不会对普通的字符进行编码,Bp中的url编码对普通字符进行了编码)payload:url编码后的:最后一个点是,create_function()注入基本原理:两个函数:var_dump():https://www.php.net/manual/zh/function.var-dump
2024-05-21 12:49:25
450
原创 Buu - [GYCTF2020]EasyThinking
看到这里的PHPSESSID即为我们登录时修改的PHPSESSID值,那么我们的key会保存在 tp6 默认的session文件处。flag是在根目录下的,但是我们无法看到flag内容,发现这里有readflag文件 => 运行readflag来得到flag。格式的文件,这里的xxx是PHPSESSID(32位),而文件的内容就是session的内容。存在一个post传参,我们搜索的值也就是key的值,会保存在 PHPSESSID文件中。扫目录,发现有源码文件www.zip 访问下载。
2024-05-20 13:10:12
219
原创 October 2019 Twice SQL Injection
这里的bs4模块,只是让结果更简介,去掉了html的标签,不要这个也没事,下载方法自己百度吧,因为我也是百度的,我自己只会pip instlal +模块名字 -i。无非就是注意自己的python版本,有时候编者用的python2编写,但你的环境是python3, 而有些模块在不同python版本的名字是不一样的。怎么说呢,我觉得这个题适合我们练习脚本的编写,方法是最简单的联合注入(union select),但需要保持会话(session)下载模块的时候无非就是注意这几点,其他没什么的。
2024-05-16 18:29:40
225
1
原创 [CISCN2019 华东南赛区]Double Secret
当secret传入的值不符合会报错(很长的时候就报错了- -),观察报错内容,我自己看的时候没啥感觉,看完别人写的,嗯,还是不够敏感。这返回的有flask,app.py,python,再加上secret参数,很容易联想到ssti注入。也不知道为什么,脚本和网站加密同个payload 结果不一样,但都可以出flag。这里是通过工具进行rc4加密 + url编码。
2024-05-15 14:52:47
384
原创 Buu - [网鼎杯2018]Unfinish
但同时,如果是 1’ or ‘1’='1 又能成功注册,这是肯定是单引号闭合,但是因为不能在后面跟注释符,如何进行闭合。解析:注册账号,将信息放在数据库中,登录进来比对数据库,将对应用户名拿出来回显在页面中。注入点在注册页面的用户名处,测试过滤了什么 => 单引号 语句后面跟注释符也被过滤。-> url/register.php => 有回显,可以注册账号。-> 注册完进来之后没有什么信息,能观察的就是左边有自己的用户名。流程:注册账号 -> 登录进来 -> 回显的是用户名。
2024-05-14 13:01:18
262
1
原创 流量协议分析
ICMP代码3表示“端口不可达”,这通常意味着数据包已经到达了正确的目的地主机,但是目的地的端口没有监听相应的服务,因此无法交付。ICMP类型3代表“目的地不可达”消息,这通常意味着某个网络设备(如路由器)无法将数据包送达目的地,并返回了这个错误消息。该过滤条件匹配了ICMP "端口不可达"类型的数据包,其中的 “code” 值为3表示端口关闭。该过滤条件会匹配所有的UDP数据包,因为UDP没有像TCP那样的连接建立过程,所以UDP数据包的到达通常表示端口是开放的。用wireshark打开。
2024-05-11 14:50:24
193
2
原创 Misc-LSB隐写
(img-DDtUpAXh-1715406813507)]检测PNG和BMP图片里的隐写数据。通过stegsolver手动调。github项目地址。是显示所有组合的结果。是显示所有组合的结果。
2024-05-11 13:56:46
246
2
原创 Buu - [SUCTF 2019]EasyWeb
> 这个函数两个参数,第一个参数提供字符串,第二个提供统计模式(0, 1, 2, 3) 0是默认值-> 1:返回字符串中每个字节出现的次数;3:以整数形式返回。
2024-05-07 10:54:59
439
转载 linux一些文件
DS_Store,英文全称是 Desktop Services Store(桌面服务存储)它是一种由macOS系统自动创建的隐藏文件,存在于每一个用「访达」打开过的文件夹下面。-> x表示 这是加密的口令 [ 不能删除x,不然不需要密码就可以访问 ],表示设置有密码,但x并不是对应的真正的密码,真正的密码在 /etc/shadow中。-> /bin/bash Linux的命令解释器,说明这个用户使用的Linux命令解释器是/bin/bash。-> www 描述性信息,没什么重要的用途。
2024-05-02 15:57:24
5
1
转载 删除文件夹提示文件夹不存在解决方法
> 可以手动创建和编辑BAT文件,以自动执行任务并执行重复操作。可以使用基本的文本编辑器(例如记事本)编写它们,并以“ .bat”扩展名保存。3、把要删除的文件(hap),拖动到上一步创建的文件(delete.bat)上即可删除文件(hap)。2、保存文件,并修改扩展名为.bat,此处把文件命名为:“delete.bat”,方便记住操作方法。=> 把你要删除的文件夹拖动到delete.bat文件上,然后就会删除了。我最近有一个文件夹无法删除,在网上找到了一个好方法,记录一下。
2024-04-12 17:28:20
159
原创 学习phar
Phar文件是一种打包格式,将PHP代码文件和其他资源放入一个文件中来实现应用程序和库的分发。Phar可利用是因为phar以序列化的形式存储用户自定义的meta-data,而以流的形式打开的时候,会自动反序列化。
2024-04-12 03:46:49
908
7
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人