自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(172)
  • 收藏
  • 关注

原创 ssti学习笔记(服务器端模板注入)

3}">True

2025-02-08 18:42:25 402

原创 124,【8】buuctf web [极客大挑战 2019] Http

进入靶场查看源码点击与url有关,抓包over。

2025-02-07 20:36:20 98

原创 123,【7】 buuctf web [极客大挑战 2019]Secret File

自己点击时只能看到1和3处的文件,点击1后直接跳转3,根本不出现2。查看源代码,发现一个紫色文件。太熟悉了,有种回家的感觉。又有一个文件,访问一下。要么源代码,要么抓包。

2025-02-07 20:14:53 221

原创 122,【6】buuctf web [护网杯2018] easy_tornado

进入靶场出现了3个文件点击看看都点击看看得知flag所在目录render在 Web 开发框架中常常出现是一个用于对 Cookie 进行签名或加密的密钥。意味着我们现在需要先找到在请求里有cookie,但都不显示cookie,反观三个文件点开后的url,奇奇怪怪,把从&开始的部分删掉看看出现新的页面新页面没有,url倒是有一个发现msg后面的和页面显示的一样,改它验证一下这块应该就是模板的注入点{6*6}}本来应该显示36,但是并没有,应该存在过滤机制换一个由于输出配置信息。

2025-02-07 19:39:10 526

原创 121,【5】 buuctf web [RoarCTF 2019] Easy Calc

函数的主要功能是输出当前 PHP 环境的详细配置信息。得知参数名为num,传递方式是get。号通常会被当作空格来处理。尝试看看能不能得到源码。发现calc.php。

2025-02-07 18:29:28 414

原创 120,【4】 攻防世界 web Confusion1(jinja2)

某天,Bob说:PHP是最好的语言,但是Alice不赞同。所以Alice编写了这个网站证明。在她还没有写完的时候,我发现其存在问题。(请不要使用扫描器)我一般看到这个页面,直接放弃这两个选项,不过这个题长知识了,还能从这个页面找到信息,也能从源代码中找到信息。1,发现这里的login.php进行了一个原样回显,猜测存在模板注入。昨天最后一道题就是这个类型,直接试试昨天的。2,源代码中看到/知道这是flag的路径。属于模板注入的题,新领域啊。都显示not found。点上面的登录注册看看。

2025-02-07 14:12:30 207

原创 119,【3】 攻防世界 web baby_web

就应该是不访问1.php的页面。题目描述是想想初始页面是哪个。在响应里找到了flag。

2025-02-07 13:07:15 104

原创 118,【2】 攻防世界 web ics-06

要设置多少自己定,我一开始设置的少了,但看状态码都是200,就知道少了,再加。左边的其他都点不动,报表中心点击后直接跳转了新页面。题目说有一处留下了入侵者的痕迹,我们点击看看。没有显示404或者访问不到。注意到出现了id=1,尝试修改id为2,3。证明这块是可以注入的。

2025-02-07 13:00:40 117

原创 117,【1】 攻防世界 web NewsCenter

历史总是惊人的相似,等等,刷新,还是不行。之前看过这道题,但是环境报错,做不了。

2025-02-07 12:43:11 97

原创 116,【8】 攻防世界 web shrine(jinja2)

进入靶场看开头像python代码过滤了config和self都是flask里会出现的东西还有函数可以尝试,它是 Flask 框架中的一个非常实用的函数,主要用于获取之前通过flash函数存储的消息。这些信息通常只需要显示一次,在用户刷新页面或者进行下一次请求后就不再需要显示/shrine/{

2025-02-06 22:06:50 301

原创 115,【7】 攻防世界 web fileinclude

得知传参的名字为language,而且是在cookie处传,还会在传的值后面直接加上.php。试着访问了几个文件,都没得到信息,f12看看源码。传个最常见的上去,而且只写文件名就行。顺利得到base64编码后的flag。再加上题目名称暗示了文件上传。f12修改cookie并传参。

2025-02-06 21:08:50 222

原创 114,【6】攻防世界 web wzsc_文件上传

别的博主说这是服务器在短时间内就立刻将其删掉了,需要采取条件竞争,我们需要抢在它删除之前访问文件并生成一句话木马文件,所以访问包的线程需要大于上传包的线程。还需要将攻击荷载设置为空,但找了半天也没找到,也就是说我现在必须设置一个位置为荷载。没显示用于解析的.htaccess和.user.ini 文件,还两个都不显示。最后访问upload就会发现上传成功了,用蚂剑连接即可。假如上一步实现后,运用大佬的脚本创造shell.php。但上传的时候bp查看状态码是200,意味着上传成功了。不过接下来的思路是清晰的。

2025-02-06 20:41:21 255

原创 113,【5】 功防世界 web unseping

需要通过 POST 请求传递一个经过 Base64 编码的序列化对象给参数ctf。别问为什么不直接在php代码里转换为base64,我的php运行工具不太行。查看flag_831b69012c67b35f.php。得知了有个flag_1s_here文件,查看一下。

2025-02-06 19:14:18 433

原创 112,【4】攻防世界 web weak_auth

假如我没那么输,或者用户名,密码不是这两个,我该怎么作。显示密码错误,那么在源码或者请求和响应里应该有提示。不过输入admin 123456 纯属个人习惯。不是,这也行,什么闭合方式,注释符都没用上。贴一个,自行爆破吧,或者用软件自带的。输入admin 123456。

2025-02-06 18:15:55 255

原创 111,【3】攻防世界 web backup

之前写过,但没写wp,也没印象了,回顾。之前存过文件后缀的字典,直接爆破吧。看到备份文件,想到下面这篇博客。不过没什么用,不用看。

2025-02-06 17:55:28 215

原创 110,【2】攻防世界 web mfw

指的是一款用于利用 Git 仓库泄露漏洞来恢复完整源代码的工具。发现flag.php是空的,index.php是关键。可以查看到flag.php index.php。能访问到,确实存在,需要使用工具了。githack和githacker。看到git想到git泄漏 ,试试。使用下面这两个命令在Kali安装。主要审上面的php代码。

2025-02-06 17:31:47 288

原创 109,【1】攻防世界 web 题目名称-文件包含

提示我们通过get方式传递名为filename的参数,同时给出了文件名check.php。话是这么说,但没显示123456说明data协议不行。将文本从 UTF - 8 编码转换为 GBK 编码。之前用的是上面这个,一个个尝试看看被过滤的是哪些。不使用read的话还有string开头的过滤器。间接提示了php伪协议换个过滤器说不定可以。傻了,题目名称是文件包含,需要用到函数。显示使用了正确的用法,错误的方法。read和base编码被禁了。发现两种组合都能得到flag。string也被过滤了。

2025-02-06 13:01:44 403

原创 108,【8】 buuctf web [网鼎杯 2020 青龙组]AreUSerialz

属性的值决定执行写操作还是读操作,同时对写入内容的长度进行了限制。允许通过 GET 请求传递一个序列化的对象进行反序列化操作。用于检查输入字符串的合法性。

2025-02-05 23:14:02 401

原创 107,【7】buuctf web [CISCN2019 华北赛区 Day2 Web1]Hack World

UUID 是 Universally Unique Identifier 的缩写,即通用唯一识别码。它是一种由数字和字母组成的 128 位标识符,在理论上可以保证在全球范围内的唯一性。UUID 的设计目的是让分布式系统中的所有元素都能有唯一的辨识信息,而不需要通过中央控制端来指定唯一标识符。

2025-02-05 23:01:13 417

原创 106,【6】 buuctf web [SUCTF 2019]CheckIn

还发现不管上传什么路径都不变,尝试上传下面这张图片,还是那个路径,不是,路径变都不变,还是没上传成功,访问不到,这只是一个中规中矩的图片。再上传一个文件将jpg文件变成php文件执行。想到见到了很多次状态码500,搜搜看什么意思。尝试修改文件那么多遍,合着题目有问题。123即密码,可凭借个人喜好更换。这里用到.htaccess发现不行。要么url中81就不见了,像上图。按理说该查看即可得到flag了。修改文件名,还是上传不成功。老规矩,桌面有啥传啥。尝试.user.ini。

2025-02-05 21:31:10 829

原创 105,【5】buuctf web [BJDCTF2020]Easy MD5

进入靶场先输入试试回显输入的值成了password的内容查看源码,尝试得到信息什么也没得到抓包,看看请求与响应里有什么信息响应里得到信息此时需要绕过MD5()函数可以看看这篇博客深入学习看这篇。

2025-02-05 19:16:41 311

原创 104,【4】 buuctf web [3.3.4 案例分析]BUU XSS COURSE 1

alert('xss')

2025-02-05 18:39:04 229

原创 103,【3】 buuctf web XSS-Lab

根据上一题得经验,看看直接改url能不能得到flag。20关有回显,21关网页不存在,所以得知共有20关。不过有时间的还是好好做完20关吧。这么简单就得到了flag。

2025-02-05 18:12:56 247

原创 102,【2】buuctf web [第二章 web进阶]XSS闯关

进入靶场点击看看。

2025-02-05 17:00:09 1263

原创 101,【1】buuctf web BUU XSS COURSE 1

alert(1)

2025-02-05 14:32:15 178

原创 100 ,【8】 buuctf web [蓝帽杯 2021]One Pointer PHP(别看)

到这块就需要蚁剑连接了,我的蚁剑有问题,最近还没好。给与了我们进行任意代码执行漏洞的条件。cookie 添加为以下内容。大概这样改cookie。先帝创业未半而开局崩殂。忘记进行url编码了。没提示,去看源代码。

2025-02-03 21:24:17 395

原创 99,[7] buuctf web [羊城杯2020]easyphp

需要上传两个文件,一个.txt文件执行命令,一个.htaccess文件解析.txt文件。若都通过检查,会再次删除当前目录下除。这段 PHP 代码的主要功能是先删除当前目录下除。之外的所有文件,然后检查 GET 请求中是否包含。如果参数存在,会进一步检查。中是否包含敏感关键词,以及。之外的所有文件,最后将。

2025-02-03 20:35:25 512

原创 98,【6】 buuctf web [ISITDTU 2019]EasyPHP

是 PHP 里一个十分实用的内置函数,它的主要作用是输出当前 PHP 环境的详细配置信息。看看怎么使用没有被禁止的函数读取目录。使用pscadi来代替ntr。直接读不了,肯定超长度,获得数组的最后一个值。

2025-02-03 19:16:25 548

原创 97,【5】buuctf web [极客大挑战 2020]Greatphp

总结:通过 GET 请求传递名为 'great' 的参数,并对 'great' 参数进行序列化操作。$syc 和 $lover 的值不相等,但它们的 MD5 哈希值和 SHA1 哈希值都相等。正则表达式检查 $syc。

2025-02-02 23:26:18 576

原创 96,【4】 buuctf web [BJDCTF2020]EzPHP

flag就在这里,你能拿到它吗?'debu' 参数匹配正则表达式 '^aqua_is_cute$' 且不等于 'aqua_is_cute'$shana 和 $passwd 的 SHA-1 哈希值相等,但 $shana 和 $passwd 本身不相等。绕过正则表达式检查 $_SERVER['QUERY_STRING']$code 只包含小写字母和数字,或者 $arg 不包含危险关键字。$file 文件的内容要等于 'debu_debu_aqua''file' 参数不包含 'http' 或 'https'

2025-02-02 23:09:52 903

原创 95,【3】 buuctf web [安洵杯 2019]easy_web

是经过 URL 编码的十六进制字符串,这里利用了 MD5 算法的哈希碰撞漏洞来绕过条件判断。正则匹配使用/来进行绕过,这是借助了一些 Linux 命令的特性。所以我们要想传参也应经历此步骤,先16,再两次64。这串字符看起来是经过 Base64 编码的。发现此时ctrl+u显示的源代码有变化。之前常用的用不了了,换用这个工具。一下子就看到了url处的异常。把16进制之间的空格删掉试试。把16进制的空格和0x都删掉。开头提示base64编码。要绕过正则匹配和MD5。见到e便想到16进制。本身是不同的字符串。

2025-02-02 22:20:20 1016

原创 94,【2】buuctf web [安洵杯 2019]easy_serialize_php

要使$serialzie_info则需要存在img=>ZDBnM19mMWFnLnBocA==的键值对的序列化内容。要使$userinfo()的内容中存在img=>ZDBnM19mMWFnLnBocA==的键值对。并且源代码中说可以用get方式传递f。出现此页面,我们在里面找找信息。我们先将文件名进行64编码。回顾源代码,寻找方法。

2025-02-02 21:00:31 607

原创 93,【1】buuctf web [网鼎杯 2020 朱雀组]phpweb

警告:date() 函数:依赖系统的时区设置是不安全的。你*必须*使用 `date.timezone` 设置或者 `date_default_timezone_set()` 函数。如果你已经使用了上述任何一种方法,但仍然收到此警告,那么很可能是你拼写错了时区标识符。目前我们选择了 'UTC' 时区,但请设置 `date.timezone` 来选择你自己的时区。在文件 `/var/www/html/index.php` 的第 24 行。函数是一个非常常用的处理日期和时间的函数,所以应该用到了。

2025-02-02 20:01:35 929

原创 92,[8] 攻防世界 web Web_php_wrong_nginx_config

得到flag为ctf{a57b3698-eeae-48c0-a669-bafe3213568c}进行目录扫描,扫描到了admin和robots.txt。看不懂啊,但要访问/web-img/了。管理中心点击后会发生url的改变。最终要在python2里面运行。还尝试了很多,都是建设中。直接运行不出结果,添加。这句话就应该想到BP。这样修改请求即可登录。

2025-02-01 21:09:30 575

原创 91,【7】 攻防世界 web fileclude

进入靶场需要用伪协议模拟文件容易构造。

2025-02-01 19:26:24 869

原创 90,【6】攻防世界 WEB Web_php_unserialize

进入靶场进入靶场我们要绕过unserialize函数、preg—match函数、wakeup函数、解码函数__destruct__wakeup$fileDemo$filefl4g.php__wakeup__wakeup$fileindex.phpvar。

2025-02-01 18:18:47 746

原创 89,[5]攻防世界 web Web_php_include

进入靶场。

2025-02-01 17:41:44 685

原创 88.[4]攻防世界 web php_rce

之前做过,回顾(看了眼之前的wp,跟没做过一样)、反引号(`)等都可用于执行系统命令。直接访问index.php没效果。)下的所有文件和文件夹。属于远程命令执行漏洞。

2025-02-01 12:24:31 555

原创 87.(3)攻防世界 web simple_php

b由大于1234的数字和字母组成即可。a=a或a==0都可。

2025-02-01 08:43:05 310

原创 86.(2)攻防世界 WEB PHP2

再次编码%2561%2564%256D%2569%256E。既然是代码审计题目,打开后又不显示代码,肯定在文件里。admin编码后%61%64%6D%69%6E。之前做过,回顾一遍,详解见下面这篇博客。浏览器本身会进行一次url解码。

2025-02-01 08:32:16 639

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除