- 博客(43)
- 收藏
- 关注
RSS订阅原创 [SHCTF 2023]——week1-week3 Web方向详细Writeup
源码如下扫描一下当前目录,发现flag绕过方式如下payload如下?好好好,这么玩是吧flag在根目录里得到flag。
2023-12-04 20:02:06
377
原创 [ISCTF 2023]——Web、Misc较全详细Writeup、Re、Crypto部分Writeup
由于懒我直接把上交的wp稍加修改拉上来了,凑活看。
2023-12-04 19:52:44
2639
原创 [SWPUCTF 2023 秋季新生赛]——Web方向 详细Writeup
来玩贪吃蛇~F12查看源代码,可以看到函数,发现是unicode编码利用网站转换得到flag。
2023-10-22 01:14:08
1418
原创 [MoeCTF 2023]——Web方向详细Write up、Re、Misc、Crypto部分Writeup
将url地址复制然后打开即可得到flag。
2023-10-19 13:05:05
1066
原创 [HNCTF 2022 Week1]——Web方向 详细Writeup
f12查看源代码可以看出游戏的分数是score修改score的值得到flag。
2023-09-07 14:26:59
579
原创 [NSSCTF Round #15&NSSCTF 2nd]——Web、Misc、Crypto方向 详细Writeup
前言虽然师傅们已经尽力了,但是没拿到前十有点可惜,题很好吃,明年再来()关于wp:因为我没有学过misc,但是比赛的时候还是运气好出了三道,所以wp就只把做题步骤给出,也解释不出原理而且也没有复现完(),感兴趣的师傅可以看看逆向师傅懒得写wp,轻点骂,密码wp出自队里的密码爷了,我不会()Webphp签到源码如下<?phpfunction waf($filename){ $black_list = array("ph", "htaccess", "ini");
2023-09-02 10:00:00
2269
4
原创 [第七届蓝帽杯全国大学生网络安全技能大赛 蓝帽杯 2023]——Web方向部分题 详细Writeup
WebLovePHP你真的熟悉PHP吗?源码如下<?php class Saferman{ public $check = True; public function __destruct(){ if($this->check === True){ file($_GET['secret']); } } public function __wakeup(){ $this->c
2023-08-27 20:00:00
4069
原创 [CTFshow 红包挑战] 红包挑战8 Write up
是为了让最后的大括号被注释掉来保证phpinfo()正常执行。我们要做的是让我们创建出来的函数闭合,然后去执行接下来的语句。功能:根据传递的参数创建匿名函数,并为其返回唯一名称。让他的语句闭合并执行我们的命令,然后再传入。如果以$限制结尾字符,则不允许结尾有换行。但是这里注意一点,我们不仅要闭合。,我们发现是执行了后面的。也可以暂时先不看,先处理。已经给出,我们需要是传入。(这个随便传都可以好像)就是创建一个函数,这里。我们把payload中。会创建一个匿名函数(的作用是绕过正则匹配。
2023-08-14 03:36:05
156
原创 [CTFshow 红包挑战] 红包挑战7 Write up
extract() 函数从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。第二个参数type用于指定当某个变量已经存在,而数组中又有同名元素时,extract() 函数如何对待这样的冲突。该函数返回成功导入到符号表中的变量数目。简单来说就是他可以接受我们的。
2023-08-14 01:43:44
270
原创 [MoeCTF 2021]——Web方向 wp
这里注意必须是0才可以,因为只有一个f1Ag的值往进传,所以前后必须是一样的,如果为其他数字的话需要俩个变量往进传。中的值代入进去,然后找到他的所属类,然后找到FLAG中的全局变量flag。__get() :获得一个类的不可访问或者不存在的成员变量时调用。__call():在对象上下文中调用不可访问的方法时触发。这里不多阐述原型链污染的概念了,可以去看p神的文章。提示我们可以有十点属性来分配,分配肯定是打不过的。游戏题,要求我们打到5w分,基本上是达不到的。在源码中找到控制分数的属性,
2023-08-09 19:32:26
1385
原创 [MoeCTF 2022]——Web方向 wp
海纳百川,有容乃大;壁立千仞,无欲则刚。” 寓意人要像大海能容纳无数江河水一样的胸襟宽广,以容纳和融合来对他人。(我们坤坤都这么努力了,你们为什么还要黑他!!!?小黑子们真虾头!!???黑我家哥哥是吧打开环境后源码如下看见有include函数了,可以想到是文件包含但是这里并不能直接传入file的值等于index.php或者flag.php,所以要利用php伪协议构造payload来读取index.php的内容访问后得到base64编码后的index.php解码base64解码得到源代码。
2023-08-09 13:41:15
1188
原创 [DASCTF 2023 & 0X401七月暑期挑战赛] Web方向部分题 详细Writeup
对于不是XXE盲注得到密码登录而是通过万能密码登入的话,由于登录的账户不是admin,每执行一次操作,session就会销毁一次,所以在每次操作之前,都要把登录的包重新发一遍,重置session。__file__是从中加载模块的文件的路径名(如果它是从文件加载的)。这段代码是一个Django项目的设置文件(settings.py),它包含了配置项目的各种设置,如数据库连接、模板路径、国际化设置等。这里一开始没有弹出来,说是生成payload时的python版本,pickle包版本等等,将版本换成了。
2023-08-06 18:20:14
409
原创 Upload-labs-master 最新Pass01-Pass19——详细Write up
JS前端绕过上传一句话木马,内容为然后上传shell.php通过弹窗可以判断出是JS前端验证,众所周知,前端验证等于不存在从form表单可以看出他在使用了onsubmit这个函数触发了鼠标的单击事件表单提交后,调用了这个函数对上传的文件进行检查方法一:创建一个新的html文件,将页面的源代码复制下来,进行修改删除操作禁用掉里面的js脚本讲此函数及其内容删除然后在删除的地方添加,也就是第一关的提交地址方法二:直接在浏览器中修改前端代码也就是在此界面直接将删掉删除。
2023-08-03 18:53:04
98
原创 CTFshow——web入门——爆破web21-web28 详细Writeup
解释一下为什么每一次的mt_rand()+mt_rand()不是第一次的随机数相加,因为生成的随机数可以说是一个线性变换(实际上非常复杂),每一次是确定的但是并不一样,所以不能 进行第一次*2就得到mt_rand()+mt_rand(),所以说只要我们得到种子就可以在本地进行获得自己想要的值解题。的值,该值经过md5加密后要他的第1,14,17位的值都相等,并且第1,14,17,31的值是整数并且第1,14,17位的值相加之后除以第1位的值等于第31位的值。
2023-08-01 20:41:15
253
原创 Sqli-labs-master 1-20关|基础篇——详细Write up
Order by判断显示位可以看出显示位是3然后构造payload爆库,爆表爆字段结束。
2023-07-25 17:11:07
207
原创 [VNCTF 2023] wp——web方向
文件是否成功创建,如果成功则返回 HTTP 状态码 200 和一个包含用户目录路径的 HTML 页面,否则返回 HTTP 状态码 500 和一个包含错误信息的 HTML 页面。到任意路径,做到文件覆盖的效果,然后获得backdoor的访问权限,backdoor允许自定义模块,通过文件覆盖,令后端代码使用我们编写的恶意go模块并同时获得RCE。,则返回 HTTP 状态码 200 和一个包含执行结果的 HTML 页面,否则返回 HTTP 状态码 200 和一个包含权限不足的错误信息的 HTML 页面。
2023-07-12 23:36:17
216
原创 [WUSTCTF 2020]朴实无华 wp
单引号传值的时候,它只识别字母前面的一部分,当我们进行get传参时,我们其实就是默认加单引号的,这里不是必须是e,这里只要是字母就可以。上来看不到什么东西,burp抓包也抓不到,dirsearch扫一下,扫到了`robots.txt。◦ 如果字符串包括了 “0x” (或 “0X”) 的前缀,使用 16 进制 (hex);函数,让我们传入一个数字,并且小于2020,但是+1大于2021。但是你如果抓个包,那么结果又不一样了,可以看到hint。这种类型的弱比较,数组是绕过不了的,这里用。
2023-07-08 13:29:32
120
原创 [第五空间 2021]yet_another_mysql_injection wp
在这个语句中,攻击者使用了 HEX 编码来表示 LIKE 运算符右侧的字符串,这个字符串实际上是 “unique_detect” 的 HEX 编码。由于白名单只允许使用特定的字符或字符串,而不允许使用特定的运算符或操作,因此攻击者可以使用这种方法来绕过白名单的限制,从而执行恶意的操作。白名单是一种更安全的防御措施,它会检查用户输入中是否包含一些特定的字符或字符串,并只允许这些字符或字符串被用于查询。都没有被过滤,可以编写脚本爆破密码 ,我这里直接找了一个师傅的脚本。直接访问,弱口令试一试就过了,账号。
2023-07-07 17:12:13
331
原创 [GKCTF 2021]easycms Writeup ——蝉知7.7
由于是个CVE,就自己找了找还有没有别的打法,跟着别的师傅的打法又打了一遍。是一个静态网页,点啥都没有用(除了友链),用dirsearch扫一下。一开始想通过文件上传来打的,但是一直上传失败,只能换一种方法。点击保存后,会给我们下载一个文件,将该文件的下载链接复制下来。最后那个txt名称为之前修改模板提示的文件,剩下的随便输。是经过base64加密后的密文,将他解码得到。然后去设置中的微信设置,随便写点东西然后保存。下载后是个压缩包,将文件扩展名改成。,将theme后面的内容改成将。,OK,寄了,打不了。
2023-07-07 11:44:32
290
1
原创 [NSSCTF Round #13]web专项赛wp
属性,所以猜测这个时间是从session中读取,随意修改session查看报错,可以在这查到。我们自然是没有账号密码的,这里一开始尝试sql注入但是提示账号密码错误,所以换个思路。Ctrl+F以下,查找那三个模块,显示已经开始,那就可以开始按照文章来打,进行。了,那就去尝试session伪造,我们先得到现在的session。是一个超链接,点击之后跳转界面,根据题目描述,得知这里使用了。后的界面,把伪造好的session放进去,得到flag。先用dirsearch扫一下,ok,啥也没有,换个思路。
2023-07-05 17:33:05
907
2
原创 [NSSCTF Round #8]——web专项赛wp
根据出题人的本意是让我们上传一个包,然后去加载那个包require得到的是module.exports的内容,所以先上传一个js文件好像是没有curl这个命令,所以这里要用wget。总之,该应用程序使用 Express 框架创建了一个服务器,监听指定的端口,处理文件上传请求和污染请求,并提供静态文件服务。一开始打算用data协议,或者filter协议进行内容读取,但是好像都被ban掉了,上网查了查资料,要利用对。go语言文件上传,他说没有过滤,暂且信他一手,上网查了一下go文件上传。
2023-07-04 10:20:08
759
原创 [春秋杯2023]Misc sudo(记CVE-2023-22809)
sudo使用用户提供的环境变量让用户选择他们所选择的编辑器。的内容其中一个变量扩展了传递给函数的实际命令。然而,后者依赖于--参数的存在来确定要编辑的文件列表。注入在一个已授权的环境变量中使用额外的--参数可以更改此列表并导致特权通过编辑具有RunAs用户权限的任何其他文件来升级。这个问题发生在sudoers之后。
2023-05-20 16:20:01
258
原创 第六届宁波市赛 [NSCTF2023] 部分web+部分misc+部分密码+mobile
只有web,misc是我写的,剩下的都是队的师傅写的,我是飞舞,就这样。
2023-05-20 16:04:21
289
原创 [HDCTF2023] NSSweb方向题解
Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。了解过Jinjia2模板注入的同学应该知道,jinjia2是基于python的,而Smarty是基于PHP的,所以理解起来还是很容易,我们只需要达到命令执行就可以了。
2023-05-06 15:15:52
1512
4
原创 [CISCN 2019华东南]Web11 和[NISACTF 2022]midlevel
Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。了解过Jinjia2模板注入的同学应该知道,jinjia2是基于python的,而Smarty是基于PHP的,所以理解起来还是很容易,我们只需要达到命令执行就可以了。
2023-04-27 00:22:18
283
原创 [HCTF 2018]Warmup 详细wp
例如 include_path 是 .,当前⼯作⽬录是 /www/,脚本中要 include ⼀个 include/a.php 并且在该⽂件中有⼀句 include “b.php”,则寻找 b.php 的顺序先是 /www/,然后是 /www/include/。最终的效果就是,将$page字符串中的URL路径部分提取出来,用于后续的处理和判断。即,当include后的文件找不到且有路径时,会沿此路径一直找,直到找到文件 即,当include后的文件找不到且有路径时,会沿此路径一直找,直到找到文件。
2023-04-23 14:26:13
248
原创 [天翼杯 2021]esay_eval——Redis(主从复制)提权初见
但是,当编辑操作意外终止时,这个备份文件就会保留,如果多次编辑文件都意外退出,备份文件并不会覆盖,而是以 swp、swo、swn 等其他格式,依次备份。在开发人员使用 vim 编辑器 编辑文本时,系统会自动生成一个备份文件,当编辑完成后,保存时,原文件会更新,备份文件会被自动删除。文件是一个 Redis 模块,它提供了一些命令和功能,可以让攻击者在 Redis 服务器中执行任意代码,从而获得服务器的控制权。顺理成章的,B类中的__destruct()方法明显访问了调用对象中不存在的方法,所以上一级便是他。
2023-04-18 19:59:50
572
2
原创 [GDOUCTF 2023] ——web方向全Write up
魔术方法,然后可以看到__wakeup()中会指向classroom类的hahaha函数,hahaha所需要的变量条件在school类的。把`’ [] " _ {{}} \ .都过滤了但是比较幸运的是可以用{%%},看了看他的config和self,发现都可以用。test.txt也看过了,里面和/orzorz.php中的内容一样,不过是文档形式,这里不赘述。可以看出这个通过flask框架写的一个网页,通过代码审计我们可以得知,只需要向。所以,双等号是不要求类型相同的,所以我们可以构造payload。
2023-04-17 23:37:54
1934
2
原创 [NISACTF 2022]bingdundun wp
这里大部分人可能会报错,这个错误信息表示在运行phar.php文件时,创建归档文件“exp.phar”的功能被禁用了。由于我一直报错,不能生成文件,改了也没有用,所以找到了第二种解决办法,在php文件的目录下打开cmd,然后命令行输入。(但是不知道为什么我的phpinfo信息不能显示,于是重新上传了一个,变量名改了一下,改成了8,就可以了)可以看到example.phar压缩文件中有phar.php文件,里面有一个php代码,内容是一句话木马。连接成功,在根目录中的flag文件找到了flag,结束。
2023-04-14 14:27:11
372
原创 [NISACTF 2022]babyupload wp
由此,当上传的文件名为 /flag ,上传后通过uuid访问文件后,查询到的文件名是 /flag ,那么进行路径拼接时,uploads/ 将被删除,读取到的就是根目录下的 flag 文件。然而,这个函数有一个少有人知的特性,如果拼接的某个路径以 / 开头,那么包括基础路径在内的所有前缀路径都将被删除,该路径将视为绝对路径。由于绝对路径拼接漏洞,直接将根目录中flag文件的内容输出到了/file下的uuid文件,我们直接访问就行。拼接意味着只能读取上传后的文件,而且上传的文件没有后缀名,不能直接利用,但。
2023-04-12 22:52:37
437
原创 [NISACTF 2022]level-up wp
好题!上来显示nothing here但是通过查看源码可以知道有Disallow指令,说明有robots.txt文件,直接访问Disallow指令例如,如果一个网站有一个包含私人信息的目录,如 /private,但不希望搜索引擎抓取这个目录下的内容,就可以在 robots.txt 文件中使用 Disallow 指令来限制访问,如下所示:找到了level2,直接访问,然后开始代码审计这里一开始想用数组绕过,但是返回????说明在弱比较的时候就寄了,没办法,只能用md5强碰撞,构造payload(这里用h
2023-04-12 18:31:32
592
1
原创 [SWPUCTF 2021 新生赛]finalrce wp
PHP为了防止正则表达式的拒绝服务攻击(reDOS),给pcre设定了一个回溯次数上限pcre.backtrack_limit默认1000000,超过1000000不会返回1或0而是false即超过限制即可。
2023-04-12 01:10:22
446
原创 [ZJCTF 2019]NiZhuanSiWei wp
要通过get传入text,file,password参数,file_get_contents的作用是将整个文件读入进一个字符串,这里的text要是字符串,并且还要与welcome to the zjctf相等。反序列化,并且包含了flag.php文件,我们这里要利用file_get_contents函数将flag.php中的内容显示出来,所以我们要将该js进行反序列化。当指定了一个相对路径(不以/、、\或 Windows 盘符开头的路径)提供的路径将基于当前的工作目录。这题是很好的文件包含类型的入门题。
2023-04-12 00:52:28
100
原创 [强网杯 2019]随便注 wp
这里想先用union联合注入来获取当前database,但是被过滤了,由这个preg_match正则匹配可以看出这道题是堆叠注入。那么 我们是不是可以通过修改带flag字段的表的名字为words表 然后把flag 字段修改为id。发现没结果了, 原因是新的id列中的值已经变为flag值了 所以查询inject=1查不到。sql注入老传统,上来先判断注入点,这题是字符型注入。修改新的words表中的flag列名为id。判断能出来什么东西,好样的,啥用没有。前面一样,先查出所有表,然后使用。
2023-04-12 00:09:32
163
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人