- 博客(17)
- 收藏
- 关注
RSS订阅原创 【无标题】
有三个文件,flag.txthints.txt知道了flag在/fllllllllllllag所以filename=/fllllllllllllag,但是还需要hash以及知道了filename,还需要cookie_secret尝试直接传参,错误,得到:它又给了一个参数msg尝试传入1回显的是1,可能存在SSTI模板注入漏洞,测试一下构造?可以发现我们的payloud是执行了的,但没有具体显示搜了一下是标题的tornado模板注入。
2024-05-31 21:16:31
393
原创 CTFSHOW WEB
1.web11<?php function replaceSpecialChar($strParam){ $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i"; return preg_replace($regex,"",$strParam); } if(strlen($password)!=strlen(replaceSp
2024-05-27 15:48:54
880
原创 【无标题】
方法safe_jinja对参数进行了过滤,将左右括号替换为空,出现config,self关键字直接页面输出None,通过url_for()与globals()函数,绕过黑名单。有两个路由,一个是根路由,一个是/shrine/参数,注册了一个名为FLAG的config,这里可能有flag,存在flask-jinja2模板注入,并且存在黑名单过滤。POST传参a和b,且ab都是字符串,a恒不等于b,但a的MD5值和b的MD5值又要相等,用MD5强碰撞绕过。得到index.php的内容,也就是源代码。
2024-05-25 14:56:39
826
原创 【无标题】
是文件包含漏洞,get传参url=php://inputphp://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行。抓包。进行如下修改:得到:访问ctf_go_go_go页面得到flag。
2024-05-23 21:47:44
538
1
原创 【无标题】
从http包可以看出来这是一个sql的盲注的流量包,我们都知道sql盲注是需要一个一个的去判断字符的,所以只用先找到sql注入找flag的第一个字符,后面的字符也可以找到了CTRL+F可以打开匹配,正则匹配flag可以看到flag是从第152493开始注入的,搜索2,1可以看到第一个字符的值是102,对应的ASCII表是f.搜索3,1第二个字符的值是108,对应的ASCII表是l搜索4,1可以看到第三个字符的值是97,对应的ASCII表是a如此类推下去,最后flag为。
2024-05-22 20:24:53
681
1
原创 期中考复现
一个提交flag的窗口,随便提交一个看看,它以弹窗的形式出来,说明是前端的,F12打开源代码看有js代码,一个base64编码,解码后就是flag。
2024-05-17 18:52:56
913
原创 【无标题】
最后,将明文 flag 使用 bytes_to_long() 函数转换为长整数 m1,然后分别使用不同的公钥指数 e1 和 e2 对其进行 RSA 加密,得到了密文 flag1 和 flag2。即字典为,dict = {'乾':'111','巽':'110','离':'101','艮':'100','兑':'011','坎':'010','震':'001','坤':'000'}不互质(注意:"互质"和"互素"这两个术语在数学上是等价的,都表示两个数的最大公约数为 1,也就是除了 1 之外没有其他公共因子。
2024-05-13 16:09:01
948
原创 【无标题】
PS:由于使用['__globals__']会造成500的服务器错误信息,并且当我直接输入search=globals时页面也会500,觉得这里应该是被过滤了,所以这里采用了字符串拼接的形式['__glo'+'bals__']接着测试列数:1/**/order/**/by/**/3#时正确,但1/**/order/**/by/**/4#时报错,说明有3列。构造:-1/**/union/**/select/**/1,2,3#有两个表flag和score,爆flag表的字段,也就是列。
2024-05-11 14:20:20
681
1
原创 [GYCTF2020]FlaskApp1
在jinja2模板引擎当中存在下面几个模板,而在这些模板当中可以输入值以及一些控制语句,在jinja2引擎中有两个模板渲染函数,而SSTI注入的原因是由于。通过源代码的框架可以判断是Flask,Flask是使用python编写的一个轻量级的web应用框架,模板引擎使用的是jinja2,遵循MVC模型。可以看到返回有this_is_the_flag.txt,然后对其进行读取,构造。的不正确的使用以及没有对用户输入的数据进行有效的过滤导致的.构造{{config}},先加密,再把加密结果解密,结果输出。
2024-05-09 22:21:26
292
1
原创 2024精武杯复现服务器和APK功能分析
使用管理套件命令rpm查询相关信息时间是:2022-2-24 13:13:01;加12个小时是因为他是PM下午,所以要加。该题最重要的就是服务器的搭建,题目给了四个盘,其中server4.E01为系统盘,其他三个为数据盘,可以用火眼工具RAID重组工具重组一下再创建虚拟机,系统是Linux系统然后打开,打开后可以用finalshell进行连接,需要修改/etc/hosts.allow文件的内容,把8.8.8.8改成all,就可以连接。
2024-05-03 22:13:51
769
原创 2022长安杯电子取证复现
在分区1/web/app/目录下面找到jar文件,导出到本地并解压,一一打开查找,最后在cloud.jar文件里面找到监听7000端口的进程对应的文件名。找powershll的最后一条命令,打开检材2虚拟机的windows powershll,用上键就可以看到上一条命令,也就是最后一条命令。网站管理后台页面对应的网络端口,应该在admin目录下,找了半天都没有,看一下别人的。要找网站jar包的地址,可以查看压缩包jar哪里,然后看全路径。检材3的root账号密码,从命令入手,在历史命令里就可以看到。
2024-04-29 10:26:39
365
原创 【无标题]
这题主要就是先进行信息收集,寻找危险的网页,这里找到的是admin.php,接着就需要得到密码登录,登录后找漏洞点,我们可以修改写入一些输出的执行语句。这是Referer头的一个重要作用,通过检查HTTP请求中的Referer字段,可以验证请求来源,防止未经授权的网站链接到自己的资源,如图片或视频。第二题的绕过:md5()、sha1()函数无法处理数组,但是代码会继续运行,并且md5数组的返回值是NULL都相同。对于一些敏感文件类型,可以通过Referer字段限制访问,确保只有来自特定来源的请求被允许。
2024-04-29 09:58:14
303
原创 php反序列化
然后在上面有$this->$openstack = unserialize($this->docker),因此只要我们使得$this->docker =null,然后让$this->filename=”flag.php”即可使得上面的判断成立,并且读取flag.php的内容;第一步找危险函数,找到ace下的echo_name函数,里面有file_get_contents这个读取函数,当filename='flag.php'时就会输出flag,但它要通过前面的这个强比较,让$this->name!
2024-04-29 09:56:07
225
原创 2024精武杯复现:计算机和手机取证,流量分析
从1开始的tcp追踪流可以看到对192.168.85.250进行了get请求,所以192.168.85.250就是被攻击方,入侵者的ip地址就是:192.168.85.130。找谢宏的信息,可以在文件里面找找,最终找到顺丰1k.zip文件,预览可以看到里面是一些人员的信息,可以导出后xlsx。爆破成功后的登录成功后是index.php网页,可以去打开自己的phpmyadmin看。在刚刚的zip文件相同的目录还有一个vc容器,挂载看看,密码在便签里。筛选关键字是phpadmin,且post传参的HTTP。
2024-04-29 09:53:13
943
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人