- 博客(33)
- 收藏
- 关注
RSS订阅原创 ---------已搬运-------BUUCTF:[BJDCTF 2nd]xss之光 ------------ 反序列PHP原生类的应用 -----------git小操作
目录:一、自己做:二、不足&&收获三、学习WP一、自己做:就到源码泄露那里,而且我自己也不会git操作。。。-<?php-$a = $_GET['yds_is_so_beautiful'];-echo unserialize($a);二、不足&&收获进一步晓得了 PHP 反序列化中的原生类的应用alert(1)不行的时候,多试试别的。什么弹cookie 啊。跳转网页啊。都试试三、学习WP没有类的情况下,可以进行原生类反序列化参考文献:反序列化
2021-02-25 17:15:39
189
原创 ---------已搬运-------BUUCTF:[BJDCTF2020]EasySearch ----- ssi注入漏洞
目录:一、自己做:二、不足&&学到的三、学习WP一、自己做:二、不足&&学到的三、学习WP
2021-02-25 13:05:40
266
原创 BUUCTF:[SWPU2019]Web1 sql注入 MariaDB注入--无列名注入-group_concat ---- /**/---group by ----- 3.9修改
目录:一、自己做:二、不足&&学到的:三、学习WP1.测试看看过滤了那些关键字,(这里要多看看,学学)2.使用无列名注入:这里稍停一下:3.下面学习无列名注入:无列名注入详解:无列名注入详解参考自:本题目的详解写博客只是为了输出学习而已,无他一、自己做:发现了 那个广告的地方可能有漏洞二、不足&&学到的:尝试了ssti。却忘记了尝试sql注入。。。过滤了order的时候,可以用group by 来测试有多少行单引号闭合,正常闭合会出错的话,可以,
2021-02-24 19:32:43
3445
1
原创 ---已搬运--:[0CTF 2016]piapiapia -----代码审计+字符串逃逸+数组绕过长度限制+以及一下小知识点 preg_match()用数组,而且注意if是正确判断,还是错误判断
目录:一、知识点:1.url传入数组绕过长度限制??2.数组的遍历3.数组绕过正则二、我自己的做题尝试:三、不足:四、学习WP1.学习一个大佬的思路:2.学习 另一个大佬的思路 ---这个过于跳跃,看上一个把,,五、思路学完了,自己做做看看。一、知识点:1.url传入数组绕过长度限制??就是判断你输入字符串不能够太长的时候,用数组可以进行绕过;2.数组的遍历两种遍历方法foreach(array_expression as $value)foreach(array_expressio
2021-02-22 16:24:11
436
原创 -----已搬运-------攻防世界:mfw --------assert() 闭合后的任意代码执行
目录:一.学到的知识点:二、我的做题思路三、WP做法:一.学到的知识点:bool or die() 当 前面的 为真的时候,后面的就不执行了assert()语法 。的知识点如果 assertion 是字符串,它将会被 assert() 当做 PHP 代码来执行。跟eval()类似, 不过eval($assertion)只是执行符合php编码规范的$code_strassert(mixed $assertion, $exception) // 返回值为bool型assert()会检查 assert
2021-02-19 12:52:44
224
4
原创 -----已搬运-----记录:学习利用PHP的字符串解析特性绕过,,,------键名的特殊字符替换成为 下划线____
利用PHP字符串解析特性,来绕过一些东东写完了发现也没有什么东西i,就是$_GET $_POST数组传参的时候,参数名会把一些字符变为下划线,,,,本地操作一波,看看是什么样子的到这里貌似只会影响到键名,键值不会被影响呐。也是,刚回头看了一下,人家说的很清楚,会为了获得一个正常的键名,会把一些奇奇怪怪的字符变一下,下面借助 parse_str 这个函数来更好的理解一下啊这个GET数组的东西不不不不不不不,这个是7.1.13的,你看截屏上有,也就是应该都是%00在键名中,会进行截断了应该
2021-02-18 10:46:27
412
原创 -----已搬运-----PHP中的变量覆盖漏洞-------以后有什么新知识就往这里面补充了
目录:1.extract()变量覆盖注意点:例题来一个2.PHP动态变量覆盖3.parse_str()变量覆盖例题来一个这个的传参有点说法,可以看看4和5水得很,可以不看4.import_request_variables()变量覆盖5.PHP全局变量覆盖参考自:https://www.cnblogs.com/xhds/p/12587249.html#_label1讲真,本来不想总结来着。以为自己对变量覆盖已经掌握了,,我靠结果第一个例题,就给我试了几分钟。这不对劲啊,还是整理下来吧,加深加深印象1
2021-02-17 23:19:32
197
1
原创 -----已搬运-----反射型xss获取cookie(本地实现)
目录:1.最简单的反射性xss获取cookie注意!!!!1.最简单的反射性xss获取cookie<?php // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback for end user echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>'
2021-02-17 19:34:35
1986
原创 ------已搬运-------一道练习python脚本的题(保持SESSION情况下爆破)
https://www.ichunqiu.com/writeup/detail/345先做一做,然后再看wp源码<?php error_reporting(0);session_start();require('./flag.php');if(!isset($_SESSION['nums'])){ $_SESSION['nums'] = 0; $_SESSION['time'] = time(); $_SESSION['whoami'] = 'ea';}if($_SES
2021-02-17 09:40:26
190
1
原创 ------已搬运-------xxe入门学习--------BUUCTF:[NCTF2019]Fake(True) XML cookbook---------jarvisoj的API调用
目录:一、XML基础知识:二、应用场景:例题:1. buu的[NCTF2019]Fake XML cookbook2. jarvisoj的API调用一、XML基础知识:这两个都不错https://blog.csdn.net/gavin_john/article/details/51532756https://blog.csdn.net/bylfsj/article/details/101441734这个就离谱。直接xxe全部学完了,学精通了,,暂时不用看这个,,https://xz.aliyun
2021-02-16 10:54:09
432
原创 ------已搬运-------BUUCTF:[BJDCTF 2nd]假猪套天下第一-----------Header请求头学习!!!
了解这个:Header:请求头详解。就全都会了。就,,不足:1.tmd。抓包瞎jb抓,有登录页面,不知道抓包的时候输入参数,抓输入参数的时候的包,我真吐了,,,哎,怎么能这么傻啊,我就说。WP抓对包了终于。进来之后,是这样的没思路,看WP。说把time修改大了,就变了???这尼玛猜出来ide?????哦,还是我粗心了,,看他说的嘛,99年之后才能访问,那就把time改的久一点就好了啊,,,,哎,,,,我的锅。。。这个easy现在变成了需要使用Commodo 64浏览器,
2021-02-15 19:23:51
415
原创 BUUCTF:[网鼎杯 2020 朱雀组]phpweb-------细致猜测,绕过黑名单,
目录:缺点&&不足WP方法一、反序列化绕过方法二:命名空间绕过黑名单:缺点&&不足抓包不细致,这个题,我抓到了第一个包,没有看到第二个包。没有注意到data可能是个函数,没有进一步去网上查找函数,要时时刻刻注意warning的字样,注意报错信息WP抓包,貌似,date是个函数啊。随便一改,又有报错,而且是 call_users_func。这个在做那个啥杯的时候学习过了,不错的函数还是先复习一下call_users_func怎么用吧,,这不就找到了么。只写
2021-02-15 18:29:08
414
1
原创 BUUCTF:[De1CTF 2019]SSRF Me ------(代码审计&&哈希拓展长度攻击&&代码审计明白之后的另一种方法)
目录:一、不足:二、注意事项三、看WP:1. 哈希拓展长度攻击2.字符串拼接一、不足:真·什么也不会。。代码审计吧,,不会代码审计,对python很不了解,,,刚看代码的时候,真的没有一句能够看懂的。。不行就以后看看少用burp,多用pyt脚本练练python看看,代码审计拉得很,,,二、注意事项盐的长度,通常不会是题目所给的盐的长度,这点要注意。三、看WP:1. 哈希拓展长度攻击啥啊这是,,是个python的flask。但是怎么看啊这,,,#! /usr/bin/env
2021-02-15 17:00:32
460
原创 -------------------已搬运 -----------BUUCTF:[安洵杯 2019]easy_web ----------md5强碰撞&& RCE过滤
目录:一、自己的思路吧,(为0)二、不足:三、看别人的WP----我明白了,这个题可能需要脑洞的,,,。。。没个毛线思路一、自己的思路吧,(为0)他这个图片的 src 很吸引人,我竟然第一时间想到了 SSRF ???。我也不知道我咋想的,把data换成读取的协议也不好使,,,当然不好使了啊。那个是文件包含漏洞才能够读取文件的啊。目录也扫描了,就一个/index.php/index.php套一个,我也不知道,,再就是他的这个url的参数,没有猜到是干什么的再结合md5
2021-02-14 19:45:23
573
1
原创 BUUCTF:[BJDCTF 2nd]fake google-----有总结的py3的payload----py3的SSTI
目录:一、学会的新东西:二、开始WP先判断类型三、warnings.catch_warnings模块入手找到我们要找的模块四、在尝试另外一个模块注入点好找的很,不多说。开头的不了,都会,问题是找到我们要利用的模块在哪里这个才是重点。。绕过的还是先不急,一步一步打好基础,碰到绕过的题的时候再说一、学会的新东西:py2,py3都适用的查找模块位置的payload,,(这个真的我吐血弄了半上午才弄出来的。你要是采纳了的话,记得点个赞哦!!!里面还有班长的智慧结晶呢)知道了py3的ssti主要是
2021-02-14 16:42:56
131
1
原创 ------已搬运-------BUUCTF:[GWCTF 2019]我有一个数据库------phpMyAdmin漏洞学习
[GWCTF 2019]我有一个数据库目录[GWCTF 2019]我有一个数据库一、参考:二、从里面摘抄了一些东西:1.读取phpinfo----(任意文件读取)2.写入shell3.直接包含session文件4.为什么,phpMyAdmine在检查的时候,要用?来进行那个匹配呢?三、声明几点:四、下面是给这个BUU的题的。就那个我有一个数据库的那个一、参考:CVE-2018-12613Phpmyadmin后台 任意文件包含漏洞复现CVE-2018-12613复现二、从里面摘抄了一些东西:1.读
2021-02-14 07:44:00
451
原创 BUUCTF:[BJDCTF2020]ZJCTF,不过如此 && 攻防世界web之ics-05 -- -preg_replace + /e 的任意代码执行漏洞
不足:在文件包含那里卡住了,想着flag.php还是next.php10多分钟后才想到可以用filter协议来读么,,,等一会看看能不能用data协议来读去???这个可以的:index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php看到正则+str_replace,+ e 修正符,想到的是RCE!?!!。知识点:/e模式的preg_repl
2021-02-13 23:37:36
329
转载 ------已搬运-------正则中\1的用法---反向引用(加了一点自己的理解进去)
前置知识点:原来\b是正则表达式规定的一个特殊代码,也叫元字符,\b代表着单词的开头或结尾,也就是单词的分界处最后一个/g是全局匹配bai模式。就是匹配在整du个字符串都有效;比如可zhi以匹配到多次的情况。正常没有g的话,就仅仅匹配到第一个就停止了/w 是匹配大小写字母 数字 下划线任意一个字符。/W 就是除了/w之外的任意一个字符/s 匹配任意一个空白字符\n\t\r 。 /S匹配除了/s和转义字符 之外的 任意一个字符转载自:正则中\1的用法—反向引用//好家伙,这竟然是js的代码,我
2021-02-13 22:16:53
657
原创 BUUCTF:[BJDCTF2020]The mystery of ip---------SSTI py
这个题,思路没想到,题做少了,,,不足:没有看出思路来。没有想到是ssti关键字测试的时候system(‘ls’) system('ls / ')。别tm憨憨地写个system放那就不管了,,,憨球对ssti太不重视,只知道看一个jinja2的模板,,不知道又Twig模板注入漏洞。WP这里一直说IP。就抓包加上 X-Forearded-For :127.0.0.1.跟着变化了,XFF可控,但因为是PHP页面,所以没有想到使ssti。后来才知道Flask 可能存在 jinja2模板注入
2021-02-13 08:28:57
262
原创 ------已搬运-------BUUCTF:[BJDCTF2020]Mark loves cat (两种解法)(变量覆盖漏洞)
主要锻炼一下变量覆盖那些绕绕的东西。git泄露,,这个还没好,等问问班长的获得源码后:index.php<?phpinclude 'flag.php';$yds = "dog";$is = "cat";$handsome = 'yds';foreach($_POST as $x => $y){ $$x = $y;}foreach($_GET as $x => $y){ $$x = $$y;}foreach($_GET as $x => $y
2021-02-12 23:03:41
399
原创 BUUCTF:[GXYCTF2019]禁止套娃&&无参数RCE入门
[GXYCTF2019]禁止套娃想仔细了解?R的话,可以看看这个理解正则表达式中的(?R)递归
2021-02-10 19:43:03
513
原创 《附件》-- os 模块的学习Web_python_template_injection---------SSTI
py2中的//这个是file对象的用法.__subclasses__()[40]('/**/**文件的绝对路径').read()py2中的//这个是os模块的用法:<class ‘site._Printer’>,<class ‘site.Quitter’>这两个都可以的.__sublcasses__()[71/76].__init__.globals__['os'].popen('ls / cat flag /想要执行的命令').read()都是type标签,所
2021-02-09 09:57:41
212
原创 《附件》--- SSTI的无脑找的,没有知识含量的payload
我把能搜过来的payload都搜过来,,,,碰到题再说吧,,,这payload太多了啊。。。这个模板可以用来现找payload自己再改一改就好了{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__ == 'catch_warnings' %} {% for b in c.__init__.__globals__.values() %} {% if b.__class__ == {}.__class__ .
2021-02-09 09:55:07
210
原创 BUUCTF:[ZJCTF 2019]NiZhuanSiWei 1
BUUCTF:[ZJCTF 2019]NiZhuanSiWei 1水文,给自己做点记录这个简单,但是我没做出来,,辣鸡!就是一个简单的伪协议的应用,源码自己去看没有做出来的原因想PHP伪协议,没有想全对文件包含不够敏感就做到这一步,主要是useless.php我没用到啊,里面的flag在什么变量里面我也不知道,里面有什么类我也不清楚。。。不行,看WP了,,--------------------------------------------------分割线-----------
2021-02-07 08:37:47
221
原创 ------已搬运-------(持续更新,)PHP反序列化的一下思路总结,主要还是怕自己以后又健忘成了傻逼,,,(持续更新,)
POP链的构造:这个比较淳朴吧,就先找到读取文件的点,然后顺着理就好,哪个类又该方法就先用哪个类我现在也不会分类啊,,其他的:PHP版本>7.1的对属性的类型不敏感,private protected public都一视同仁。有个青龙组的题,就是过滤了不可见字符,本来pirvate和protected都有private:%00类名%00实例名,protected:%00*%00实例名,就可以用public直接搞定同样对上面那个情况sdf s:5:%00*%00adam,绕过不..
2021-02-06 15:01:11
96
原创 ------已搬运-------BUUCTF:[安洵杯 2019]easy_serialize_php 1(extract,字符逃逸 session反序列化的另类~.~ )
学到的extract的覆盖数组的操作比如能够覆盖SESSION这个全局数组!看phpinfo时的注意点代码审计的能力字符串逃逸,之前还有一条路可以走,但是后来发现走不通,不过也是个好思路劝像我一样的rookies。本地自己实验很重要,那些大佬们的payload也是不知实验了多少次才出来的。本地实验的多了,自己也就明白了源码+我的一些注释源码多看几遍,找找思路,灵感<?php$function = @$_GET['f'];function filter($img){ $f
2021-02-06 14:39:23
605
原创 ------已搬运-------PHP中奇怪的==,!=,===,!==
ciscn2020复现-web-Easytrick。可以先做一下这个题,在我本地http://localhost/renew/easytrick.php。这个。这里就看出来的file_get_contents等文件包含漏洞的威力了,直接给我干到D盘,超出了网站的根目录了,详细讲了INF和PHP精度绕过的内容,也是上个题的wp描述一下,如果还记得的话,就不看了,,,懒批这个INF是个好东西,自身是浮点型,但是和本身的字符串型不相等。但是彼此的md5确实相等的,还有那个PHP的精度,好像就是在15
2021-02-05 09:52:53
119
原创 ------已搬运-------PHP反序列化之字符逃逸入门笔记
放在最前面:这是我拿来复习用的。您要是想学的话,请从 基础知识和一些特性 那里开始看起。字符数变多的套路解释增多:。我们输入的时候少,加工后他会变多。那么我们就在输入的时候再加上构造的。然后 变多之后,就把我们构造的给挤出来。从而实现详细解释一个字符串数量会变多的话,就把我们要构造的那一串序列化之后的字符串接到该变量的最后(记得那个序列化的字符串,该闭合的都给闭合了)。然后添加了几个字符的数量 再加上他减少之后剩下的字符的数量要 === 他增多之后的总的数量,从而把我们构造的那些给 挤出去
2021-02-02 14:33:17
424
原创 ------已搬运-------BUUCTF:LCTFbestphp‘s revenge
我弄这个题一整天了,晚上不出意外的话还得看,先这样吧。。里面还有很多疑问点,希望能有大佬指点要用到的很多很多的知识点,,,sesion反序列化–>soap(ssrf+crlf)–>call_user_func激活soap类(抄袭的,我哪能总结出来啊,,,)call_user_func函数这个我自己总结的,看看自己写的extractextract()函数,从数组中把变量导入当前页面,相同的变量会被覆盖。所以下面的b=extract,同时$POST是一个数组,所以符合reset(
2021-02-01 16:17:39
505
原创 ------已搬运-------call_user_func()&&call_user_func_array()学习记录
这个是在学习 bestphp’s revenge 的预备知识记录这个方法好像有两个模式一个是 把第一个参数看作回调函数,后面的当作这个函数参数二就是调用类中的方法 或 者实例中的方法,然后,后面的依旧作为 该方法的参数。也就是调用类中的方法一、示例直接回调函数方法<?phpfunction say($name,$age,$other){ echo "Hello ,$name,your age is $age ,other is $other\n";}call_user_func
2021-02-01 09:56:51
158
原创 302重定向与301重定向
302重定向与301重定向302重定向表示 临时重定向,常常用于页面跳转,就是咱们在一个页面登陆,然后登陆成功,就会跳转到另一个页面,这个就是302跳转.比如响应头中的Location = xxxxxxxx.还有内容中的 href =xxxxxxx 等等301 重定向这个就是永久的移动 。比如你访问一个网站,然后这个网站废掉了,他会给你提示说请访问 xxxxx网站,这个就是永久性的301指向302跳转的话可能会有URL劫持从网址A做一个302重定向到网址B时,主机服务器的隐含意思是网址A
2021-02-01 09:33:43
1157
转载 CRLF&&HRS知识点
CRLF&&HRS知识点CRLF注入是一类注入漏洞。是“回车+换行”的简称,又叫做回车换行符。表示为\r\n,编码之后是%0d%0a。这个在HTTP协议中表示消息头与消息体之间的分隔(SSRF中的gopher协议里面也有这个点)。浏览器就是根据这两个CRLF来分离HTTPHeader与HTTPBody的。从而把HTTP内容显示出来。所以,如果我们能够控制HTTP消息头的字符,那么我们就能够注入一些恶意的换行。从而能够注入一些会话的Cookie或者HTML代码,所以CRLFInjecti
2021-02-01 08:34:18
384
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人