- 博客(59)
- 收藏
- 关注
RSS订阅原创 【CSAWQual 2019】Unagi
直接上传恶意XML显示有WAF,尝试编码绕过。通过iconv转换成utf-16编码绕过。然后在Linux系统,
2025-04-02 08:26:43
90
转载 【第五空间 2021】yet_another_mysql_injection
结果返回了replace(".",char(46),".")这个东西,即object不变,但还是没有达到我们预期的效果怎么办,这时候我们将第三个参数也改成replace(".",char(46),".")上面的例子用.替换object里的.,最终返回了一个.,那如果我们将object写成replace(".",char(46),".")会有什么变化呢?这个if判断了从数据库中查到的密码是否和用户输入的是一样的,只有完全一致才会得到FLAG,那这岂不是只能输入正确密码才能得到FLAG?有点类似套娃的感觉。
2025-04-02 08:26:26
59
原创 【湖湘杯 2021 final】Penetratable
在抓包过程中看见了修改密码的发包过程,在js代码里也可以看见。而且admin修改密码是可以直接修改的,不管旧密码是否正确。看了一些文件,在phpinfo.php找到了关键代码。直接登录普通修改传参就行了,不用登录admin。看到sed有suid权限,用sed读文件。这样就可以看我们之前看不到的文件的代码。注册admin’#,修改密码,不成功。说明只有admin是有权限修改密码的。发现连接不了,要在写个文件,或者这样。登录admin账户,可以看见用户名。记录一下这道题,全新的思路。的过程中,发现了传的参数。
2025-04-02 08:26:09
351
转载 【HZNUCTF 2023 preliminary】pickle
参考文章:[HZNUCTF 2023 preliminary] 2023杭师大校赛(初赛) web方向题解wp 全_[hznuctf 2023 preliminary]ezlogin-CSDN博客
2025-04-02 08:26:05
33
原创 【HZNUCTF 2023 final】ezgo
bin 存放所有用户皆可用的系统程序,系统启动或者系统修复时可用(在没有挂载 /usr 目录时就可以使用) /sbin 存放超级用户才能使用的系统程序 /usr/bin 存放所有用户都可用的应用程序 /usr/sbin 存放超级用户才能使用的应用程序 /usr/local/bin 存放所有用户都可用的与本地机器无关的程序 /usr/local/sbin 存放超级用户才能使用的与本地机器无关的程序。find (一个路径或文件,必须存在) -exec 执行命令 \;是-exec 参数的结尾标志)
2025-04-02 08:26:01
164
原创 【羊城杯 2020】easyser
path=http://127.0.0.1/ser.php,和源码。写入webshell,绕过死亡exit用的是phpfilter的string。tags和base64encode。访问/shell.php执行命令。
2025-04-01 09:04:31
205
原创 【MoeCTF 2021】地狱通讯
第二个占位符访问其属性链,最终获取到模块全局变量。包含格式化占位符,可触发二次格式化,访问对象属性。:获取构造函数所在模块的全局变量字典,其中可能包含。函数处理,假设当参数不正确时返回一个对象实例。,响应中返回该字典内容,暴露真实flag。拼接到字符串中,形成新的格式化字符串。函数返回一个对象实例(如错误对象)。:获取类的构造函数方法。作为参数进行格式化,若。:全局变量字典中包含。
2025-04-01 09:04:23
247
原创 prize_p2
的两个特性,函数可控实现rce,此处为任意文件读,第二个特性是使用int32存储延时参数值,超过2^31-1延时则为0。里,为进程文件打开的情况,通过爆破id可以getflag。
2025-04-01 09:04:18
203
原创 【极客大挑战 2020】greatphp
class绕过第一步的hash比较。后面接变量名时, 不需要括号或引号。后包含行号, hash的结果不同。对象写在同一行, 否则。
2025-04-01 09:04:15
229
原创 【CISCN 2019华北Day1】Web2
先注册个账号,cookie存在jwt,用c-jwt-cracker破解得到key,去jwt.io将user修改为admin,访问个人中心,得到hint,进行unicode解码得到。但是价格很贵,抓个包看下,请求当中带有price和discount,改price不行,可以改discount,放包后跟随重定向到。,F12可以看到源码(燕国的地图真的长)主要记录一下py反序列化和JST爆破。F12可以发现元素中存在。,写个脚本找lv6在哪。pickle反序列化。
2025-04-01 09:02:33
151
原创 【鹏城杯 2022】压缩包
的方式来写入shell,只要压缩包中目录名和一个文件名相同,这样解压时候会报错,但是文件已经解压出来了。一种方法是条件竞争,还有一种是解压失败逻辑漏洞。将压缩包进行base64加密后上传。
2025-04-01 09:02:24
215
原创 【NSSRound#8 Basic】MyPage
猜测是require_once,尝试绕过它。过滤了一堆协议,尝试直接读取flag。尝试配合读取文件源码的伪协议绕过。
2025-03-31 08:43:38
222
原创 【NSSCTF 2022 Spring Recruit】babysql
在读flag的时候有个问题,就是flag前面有很多不可见字符,要使用mid()来截取。且发现是使用的’来闭合,所以可以在后面接上’2’='1来闭合引号。时可以发现回显中带’flag’,使用这个特征来bool盲注。然后尝试闭合,在fuuz过程中发现了回显,显示了过滤项。发现只有输入tarnish1、2、3时才会有回显。if可以使用case when来替代。来看这个数据有多长,从而选择截取长度。mid截取的长度可以使用通配符。空格可以使用/**/替代。
2025-03-31 08:43:30
168
原创 【NCTF 2019】Fake XML cookbook
XXE攻击利用了XML解析器对外部实体的支持,攻击者可以通过构造恶意的XML文档,让解析器加载敏感文件、执行网络请求或造成拒绝服务等。当解析器处理这个XML文档时,会尝试读取。表示该实体引用的是本地文件系统中的。文件的内容,并将其替换到引用的地方。是用于定义文档类型的声明。
2025-03-31 08:42:57
118
原创 【NISACTF 2022】join-us
两个表分别有id列名和data列名,尝试读取信息,left、right、substring都被禁了,mid没有,用mid函数先读Fal_flag。先确定是字符注入,因为database被禁用了,or空格也被禁了,但是管道符||没被禁用,构造。用limit限制一下看看,发现确实只是id,看来是个Fake表。通过post的sql注入题目,参数是tt。构造报错注入,=被过滤了,用like。columns被禁用,用无列名注入。
2025-03-31 08:42:53
195
原创 【第五空间 2021】EasyCleanup
发送一个文件上传请求,其中包含一个文件表单和一个名字是。请求的Cookie中包含Session ID。通用脚本,但是没有用成功。
2025-03-31 08:42:49
107
原创 【CISCN 2019初赛】Love Math
目标是构造一个合法的表达式,使其能够通过所有检查并返回预期结果。禁止使用黑名单中的字符(如空格、制表符、换行符、引号等)。长度超过80,则终止程序并输出“太长了不会算”。函数可以将数字从一种进制转换为另一种进制。允许使用的函数仅限于白名单中的数学函数。中的所有函数名,并检查是否在白名单中。从11进制转换为36进制。从12进制转换为36进制。从10进制转换为36进制。未定义,则显示源码。执行用户输入的内容。
2025-03-31 08:41:37
293
原创 【SWPUCTF 2022 新生赛】ez_1zpop
对象,通过反序列化触发漏洞执行任意命令。对象的属性数量,使其与实际不符,避免触发。这道题的答案是构造一个经过特定序列化的。为不同字符串但MD5哈希值相同,如。:修改序列化字符串中。
2025-03-31 08:41:28
105
原创 【NISACTF 2022】middlerce
若服务器未过滤此输入且直接执行,可能导致任意命令注入。:极长的字符串规避基于长度的正则表达式或参数截断。,包含一段混合了PHP语法的可疑命令。) 发送POST请求,携带恶意载荷。用于实时监控文件的末尾内容。:打印服务器响应的文本内容。),可能导致敏感数据泄露。库发送HTTP请求。符号组成的长字符串。:在Linux系统中,
2025-03-31 08:40:40
266
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人