![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
BUUCTF刷题记录
文章平均质量分 77
妈个蛋蛋,我就不信一直这么菜
HyyMbb
这个作者很懒,什么都没留下…
展开
-
2020 年 V&N 内部考核赛 WriteUp
CheckIN源码from flask import Flask, requestimport osapp = Flask(__name__)flag_file = open("flag.txt", "r")# flag = flag_file.read()# flag_file.close()## @app.route('/flag')# def flag():# ...原创 2020-03-01 14:05:44 · 2654 阅读 · 0 评论 -
[D3CTF 2019]EzUpload gzip压缩phar .htaccess内容正则绕过 glob://爆破目录 绕过open_basedir
源码<?phpclass dir{ public $userdir; public $url; public $filename; public function __construct($url,$filename) { $this->userdir = "upload/" . md5($_SERVER["HTTP_X_REAL_I...原创 2020-02-21 10:42:53 · 1595 阅读 · 0 评论 -
l33t-hoster .htaccess \x00注释&&putenv绕过disable_function&&计算c代码
源码<?phpif (isset($_GET["source"])) die(highlight_file(__FILE__));session_start();if (!isset($_SESSION["home"])) { $_SESSION["home"] = bin2hex(random_bytes(20));}$userdir = "images/...原创 2020-02-20 00:15:11 · 771 阅读 · 0 评论 -
[SUCTF 2018]HateIT CFB重放攻击~~
题目介绍首先是扫目录得到.git源码泄露,我们用Git_Extract工具下载下来,有几个php文件和一个php的opcode,但是php文件都是经过so拓展加密,由于不会逆向,只能直接看着wp复现了,直接把师傅逆向好的代码拿来复现~~index.php<?php if(!isset($_SESSION)) { session_start(); ...原创 2020-02-17 21:59:22 · 1441 阅读 · 0 评论 -
[BSidesSF 2019]Mixer ECB加密
题目介绍这儿需要我们登录,根据题目提示,我们需用admin登录就能拿到flag,我们先随便登录一下试试~~这儿返回了cookie,应该是某种加密~~但是题目并没有提示,尝试解码也并没有特别明显的线索,后来随便改一下user的值,发现报错,并且返回我们这儿猜测是cbc加密,因为其它的我也不知道根据题目我们知道,解码应该为{"first_name":"ma","last_name":"jia...原创 2020-02-15 22:40:43 · 1451 阅读 · 0 评论 -
[BSidesSF 2019]SVGMagic svg->png结合xxe任意文件去读
payload<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE note [<!ENTITY file SYSTEM "file:///proc/self/cwd/flag.txt" >]><svg height="100" width="1000"> <text x="10" y="...原创 2020-02-15 21:12:18 · 1954 阅读 · 0 评论 -
[BSidesCF 2019]Sequel SQLite注入~~
题目描述首先是登录,我们爆破一下就好了~~然后得到用户名和密码均为guest~~这时登录成功后会返回一个cookie,而且长得很可疑~~set-cookie: 1337_AUTH=eyJ1c2VybmFtZSI6Imd1ZXN0IiwicGFzc3dvcmQiOiJndWVzdCJ9; HttpOnlybase64 解密一下得到{"username":"guest","passwor...原创 2020-02-15 20:51:45 · 1435 阅读 · 0 评论 -
[SUCTF 2018]annonymous creat_function匿名函数~~
源码<?php$MY = create_function("","die(`cat flag.php`);");$hash = bin2hex(openssl_random_pseudo_bytes(32));eval("function SUCTF_$hash(){" ."global \$MY;" ."\$MY();" ."}");if(isset($...原创 2020-02-13 15:51:12 · 944 阅读 · 0 评论 -
2018 SUCTF Homework xxe外带数据~~ xxe进行ssrf
题目介绍注册账号,登录作业平台。看到一个calc计算器类。有两个按钮,一个用于调用calc类实现两位数的四则运算。另一个用于提交代码。我们点击cacl按钮,计算2+2=4,我们观察参数,再结合代码可知module为调用的类,args为类的构造方法的参数~在PHP中存在内置类。其中包括SimpleXMLElement,文档中对于SimpleXMLElement::__construct定义如下...原创 2020-02-12 23:33:16 · 1650 阅读 · 0 评论 -
[watevrCTF-2019]Pickle Store pickle序列化漏洞~~
题目介绍要有1000美元买flag,然后我们查看header,扫目录之类的操作,最后在cookie中发现问题~~gAN9cQAoWAUAAABtb25leXEBTfQBWAcAAABoaXN0b3J5cQJdcQNYEAAAAGFudGlfdGFtcGVyX2htYWNxBFggAAAAYWExYmE0ZGU1NTA0OGNmMjBlMGE3YTYzYjdmOGViNjJxBXUu先试试b...原创 2020-02-12 13:18:56 · 1771 阅读 · 0 评论 -
[watevrCTF-2019]Supercalc flask-cookie伪造&SSTI
题目buu新上的题目,晚上没啥事情就做了一下~~打开页面是一个计算器可以执行一些简单的运算,我们还是老实地按步骤走,先扫下目录,没发现什么东西,然后查看header,源码等,都没有发现思路,然后我们看了一下cookie这个凭直觉都知道是flask的cooike,然后我们放到脚本里面解一下这不是我们先前的计算么?那么思路就很明显了,肯定是伪造cooike,那么我们就不必须拿到key才可...原创 2020-02-12 03:17:03 · 1951 阅读 · 0 评论 -
[SCTF2019]Flag Shop HTTP参数传递类型差异产生的攻击面
0x01 源码get "/work" do islogin auth = JWT.decode cookies[:auth],ENV["SECRET"] , true, { algorithm: 'HS256' } auth = auth[0] unless params[:SECRET].nil? if ENV["SECRET"].match("#{params[:SECRET]...原创 2020-02-11 17:26:51 · 975 阅读 · 5 评论 -
[De1CTF 2019]9calc 这道题暂时还没搞明白,暂时做个记录~~
参考链接飘零师傅梅子酒师傅cacl_famliy原创 2020-02-10 19:04:41 · 1074 阅读 · 0 评论 -
[0CTF2019]calcalcalc js污染,bool注入
本题是2019 RCTF calcalcalc的改版,这次限制了之前的时间延迟注入的问题,同时需要Bypass validator: validate(value: any, args: ValidationArguments) { const str = value ? value.toString() : ''; if (str.length === 0) {...原创 2020-02-10 11:41:04 · 760 阅读 · 0 评论 -
[RCTF2019]calcalcalc 命令执行的时间盲注~~
0x01 题目源码pythonfrom flask import Flask, requestimport bsonimport jsonimport datetimeapp = Flask(__name__)@app.route("/", methods=["POST"])def calculate(): data = request.get_data() ...原创 2020-02-10 11:08:26 · 2092 阅读 · 0 评论 -
Hitcon2015 babyfirst复现 (php执行打包文件)
0x01 源码<?php highlight_file(__FILE__); $dir = 'sandbox/' . $_SERVER['REMOTE_ADDR']; if ( !file_exists($dir) ) mkdir($dir); chdir($dir); $args = $_GET['args']; for...原创 2020-02-09 21:03:03 · 451 阅读 · 0 评论 -
2018SUCTF Getshell特殊字符shell
0x01 源码if($contents=file_get_contents($_FILES["file"]["tmp_name"])){ $data=substr($contents,5); foreach ($black_char as $b) { if (stripos($data, $b) !== false){ die("illegal ...原创 2020-02-09 19:53:29 · 1804 阅读 · 0 评论 -
[HITCON 2019]Buggy_Net NET4.0表单处理~~
0x01 源码bool isBad = false;try { if ( Request.Form["filename"] != null ) { isBad = Request.Form["filename"].Contains("..") == true; }} catch (Exception ex) { } try { if (!...原创 2020-02-08 01:27:37 · 799 阅读 · 0 评论 -
[HITCON 2016]Leaking node.js沙箱逃逸
0x01 源码"use strict";var randomstring = require("randomstring");var express = require("express");var { VM} = require("vm2");var fs = require("fs");var app = express();var flag = require("...原创 2020-02-08 00:52:53 · 1964 阅读 · 0 评论 -
2018网鼎杯 三道web题 记录~~(二次注入)
0x01 Comment扫目录,源码泄露<?phpinclude "mysql.php";session_start();if($_SESSION['login'] != 'yes'){ header("Location: ./login.php"); die();}if(isset($_GET['do'])){switch ($_GET['do']){c...原创 2020-02-07 21:52:35 · 7562 阅读 · 4 评论 -
[CISCN2019 东北赛区 Day2 Web3]Point System CBC字节翻转攻击
0x01 题目简介打开是一个登录界面, 访问robots.txt, 发现一个html, 里面是很多api然后使用postman注册一下提示注册成功, 但是缺无法登录~~提示权限不足~~我们看了一下请求向login发请求后返回的是{"code":100,"data":{"token":"eyJzaWduZWRfa2V5IjoiU1VONGExTnBibWRFWVc1alpWSmhVSH...原创 2020-02-05 20:20:07 · 1099 阅读 · 0 评论 -
[CISCN2019 华北赛区 Day1 Web1]Dropbox
0x01源码download.php<?phpsession_start();if (!isset($_SESSION['login'])) { header("Location: login.php"); die();}if (!isset($_POST['filename'])) { die();}include "class.php";in...原创 2020-02-03 20:52:53 · 917 阅读 · 0 评论 -
[SUCTF 2019]Upload Labs 2 phar+Soapclient结合
0x01 源码// admin.php<?phpinclude 'config.php';class Ad{ public $cmd; public $clazz; public $func1; public $func2; public $func3; public $instance; public $arg1; ...原创 2020-02-02 22:00:44 · 2271 阅读 · 0 评论 -
[De1CTF 2019]ShellShellShell 内网探测&curl 传参传文件
0x01 题目描述总共分为两部分,都是两道原题~~,我们主要讲一下第二部分,关于第一部分的writeup,以前也写过~~第一部分:传送门第二部分:我们穿了一句话之后,可以用蚁剑连接,然后就是内网探测了~~打开/proc/net/fib_trie,查看内网信息~~我们的主机是173.158.29.9,我们用蚁剑自带的端口探测工具扫一下~~然后我们使用wget http://173.1...原创 2020-02-01 13:44:07 · 1416 阅读 · 0 评论 -
[安洵杯 2019]不是文件上传 sql注入 发序列化 信息泄漏
题目描述找了半天也没找到题目的关键点·~~看了writeup才知道有个信息泄露然后在github上下载源码就可以了~~解题过程首先我们拿到一套源码,先找到哪段代码能够读取flag~~在helper.php中有一段代码,可以读取文件~~,很明显的反序列化~~然后我们在文中找一下序列化和反序列化的点~~大概说明一下代码的意思,我们上传图片时,会序列化图片的宽高,然后在show.php中...原创 2020-01-30 23:35:58 · 2058 阅读 · 2 评论 -
安洵杯2019 easy_serialize_php (反序列化中的对象逃逸)
0x01 题目源码 <?php$function = @$_GET['f'];function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_repla...原创 2020-01-30 21:06:55 · 7513 阅读 · 5 评论 -
2019全国大学生安全运维赛 EZPOP & 2020buu红包题
0x01 题目源码<?phperror_reporting(0);class A{ protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) {...原创 2020-01-30 01:21:12 · 2971 阅读 · 1 评论 -
[BJDCTF2020]EzPHP create_function()代码注入绕过$_REQUEST和QUERY_STRING等
0x01 题目源码 <?phphighlight_file(__FILE__);error_reporting(0); $file = "1nD3x.php";$shana = $_GET['shana'];$passwd = $_GET['passwd'];$arg = '';$code = '';echo "<br /><font color=re...原创 2020-01-29 23:43:59 · 3898 阅读 · 2 评论 -
[N1CTF 2018]easy_harder_php soap_ssrf
0x01 题目介绍扫描目录得到源码 function publish() { if(!$this->check_login()) return false; if($this->is_admin == 0) { if(isset($_POST['signature']) && i...原创 2020-01-26 17:56:57 · 2016 阅读 · 0 评论 -
GXYCTF web部分简要分析
0x01 ping ping ping很明显的命令注入,我们用管道符号|即可执行我们想要的命令空格被过滤了,绕过空格的方法有很多,比如{cat,flag.txt} cat${IFS}flag.txtcat$IFS$9flag.txtcat<flag.txtcat<>flag.txtkg=$'\x20flag.txt'&&cat$kg(\x20转...原创 2020-01-25 19:45:21 · 707 阅读 · 0 评论 -
安洵杯2019 cssgame
0x01 题目分析<html><head> <meta charset="utf8" /> <title>CSS Game</title> <style> </style></head><body><h1>CSS Game</h1...原创 2020-01-22 17:17:25 · 1303 阅读 · 0 评论 -
session_start()&bestphp 考查session_start&soap ssrf
0x01 bestphp1首先贴出这道题的源代码<html> <head> <title>BabyPHP</title> <meta charset='UTF-8'> </head> <body> <form action='#' method='post'> ...原创 2020-01-19 16:00:43 · 824 阅读 · 0 评论 -
SWPUCTF web 部分题解
0x01 web1 easyweb随便注册个账号登陆后,测试发现留言处的title字段存在二次注入有报错和回显,但是报错过滤了extractvalue和updatexml考虑使用union,但是过滤了or,不能使用information_schema对于mysql>5.7的版本,有sys数据库,前提是root权限才能访问innodb_index_stats和innodb_tab...原创 2020-01-01 23:48:03 · 1113 阅读 · 1 评论 -
2017 hitcon Ssrf_me 详解 (perl脚本中GET open漏洞及解析漏洞)
0x01 源码http://117.50.3.97:8004/<?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapesh...原创 2019-12-15 01:12:55 · 1870 阅读 · 0 评论 -
刷题记录De1CTF ssrf_me 的三种解法
0x01 贴出源码#! /usr/bin/env python#encoding=utf-8from flask import Flaskfrom flask import requestimport socketimport hashlibimport urllibimport sysimport osimport jsonreload(sys)sys.setdefau...原创 2019-12-07 23:04:27 · 781 阅读 · 0 评论 -
unctf Arbi ( ssrf & express特性利用 )
0x01 题目描述我们打开题目,是一个简单的登录注册页面0x02 解题过程首先我们随便注册一个账户试试我们直接F12查看源码,我们可以看见图片的src1、我们这儿便联想到ssrf,我们试试看可不可以读取源码,通过测试,我们发现用户名必须和图片的名称相对应,否则会报错,于是我们便可以通过?绕过这个限制,根据题目提示,此网站由js的express搭建,我们知道一般js框架都有packa...原创 2019-11-15 20:57:07 · 624 阅读 · 0 评论 -
Byte CTF boring_code(fuzz,无参数RCE)
0x01 贴出代码<?phpfunction is_valid_url($url) { if (filter_var($url, FILTER_VALIDATE_URL)) { if (preg_match('/data:\/\//i', $url)) { return false; } return true; } return false;}if (is...原创 2019-11-09 21:19:38 · 1895 阅读 · 0 评论 -
HCTF 2018 Warmup(函数理解)
0x01 题目描述先看hint看url有file参数,感觉可能要用伪协议啥的,试了下,没出东西扫一下目录,发现./source.php源码文件源码如下<?php class emmm { public static function checkFile(&$page) { $whitelist = [...原创 2019-11-07 20:03:13 · 3235 阅读 · 0 评论 -
[强网杯 2019]高明的黑客(考察代码编写能力)
0x01 试题分析1、我们先打开题目,提示可以下载源码下载源码,打开是几千个php文件,而且很乱,根本没法看,不过里面包含很多shell不过很多shell都没用,所以我们猜测这几千个php文件中肯定含有可以使用的shell,我们只有写脚本去试了。0x02 脚本分析– coding: utf-8 –import osimport requestsimport reimport...原创 2019-11-07 00:50:18 · 9618 阅读 · 26 评论 -
[RoarCTF 2019]Easy Calc(http走私 && 利用PHP的字符串解析特性Bypass)
0x01 题目描述打开题目如上图所示,有点像国赛的love_mathF12查看源码提示有waf和一个calc.php网页,我们先打开这个网页看看是什么打开后直接给出了源码,我们可以看见过滤了一些特殊字符,然后eval执行我们的命令,想着前面的waf,不可能是这样简单的,我们先试试传入一些字符试试。当我传入字符时,waf拦截了我们的请求题目的突破点:只能传入数字和运算符号,不能...原创 2019-11-06 17:09:28 · 3899 阅读 · 0 评论