Aurora李-CSDN博客

原创 [HarekazeCTF2019]encode_and_encode

[HarekazeCTF2019]encode_and_encode打开环境，得到源码<?phperror_reporting(0);if (isset($_GET['source'])) { show_source(__FILE__); exit();}//过滤函数function is_valid($str) { $banword = [ // no path traversal '\.\.', // no stream wrapper

2021-09-06 20:07:51 512

原创 [SUCTF 2019]EasyWeb

[SUCTF 2019]EasyWeb打开环境是一段代码,其中if ( preg_match(’/[\x00- 0-9A-Za-z’"`~_&.,|=[\x7F]+/i’, $hhh) )这个判断是难点，它的绕过可以参考这篇文章https://www.h3399.cn/201909/723646.html然后配合${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&ff=phpinfo，可以执行一些函数，还有就是文件上传绕过，参考链接https://www.dazhu

2021-09-05 20:00:27 330

原创 [HFCTF2020]EasyLogin

[HFCTF2020]EasyLogin继续刷题打开环境，发现是一个登录页面，F12一下，发现有一个js可以看看看到了js代码，但是用处似乎不大，它提示用的是koa框架，了解一下koa目录的基本结构。我们访问/controllers/api.js得到源码const crypto = require('crypto');const fs = require('fs')const jwt = require('jsonwebtoken')const APIError = require('../

2021-08-31 18:50:04 462

原创 [CISCN2019 总决赛 Day2 Web1]Easyweb

[CISCN2019 总决赛 Day2 Web1]Easyweb扫描一下，发现有robots.txt试着访问备份文件，但是是哪一个呢，这里在源码中发现这几个页面一个一个的试这里审计一下源码，对单引号进行了过滤，无法闭合单引号，所以我们用\0来转义掉它的单引号。输入\0，经过“addslashes”函数会先变成\0,然后经过“str_replace”函数，会变成,这样，就把id后面的单引号给转义了sql注入代码import requestsurl = "http://59a1680b-ce34-46

2021-08-15 17:15:34 150

原创 [MRCTF2020]套娃

[MRCTF2020]套娃今天又是刷题的一天，加油哇F12查看源码意思是上述代码不能出现’_‘和’%5f’，可以用‘ ’或‘.’或‘ %5F’绕过通过get取得的参数b_u_p_t不等于23333但是正则，匹配需要匹配到23333所以这里用%0a(因为正则匹配中’^‘和’$'代表的是行的开头和结尾,所以能利用换行绕过)绕过传入payload：?b u p t=23333%0a访问页面，源码里有一堆东西，之前做过这个，直接把它复制到控制台意思是要传一个参数名为Merak的POST值。随意传一个试一下爆出

2021-08-05 15:38:12 155

原创 [NCTF2019]True XML cookbook

[NCTF2019]True XML cookbook前面做过一次fake XML cookbook 直接上手了啊抓包插入恶意XML外部实体<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE a [ <!ENTITY admin SYSTEM "file:///etc/passwd"> ]><user><username>&admin;</username><pa

2021-08-04 15:32:25 1449 4

原创 [BJDCTF2020]EasySearch

[BJDCTF2020]EasySearch刷题，继续看了一下，爆破的话好像不行，扫描网站，发现index.php.swp是源码审计一下，发现密码前6个字符的md5加密值等于6d0bc1，然后会在public目录下创建一个shtml文件，再将post传参的username字段写入这个shtml文件中，贴上大佬的脚本# -*- coding: utf-8 -*-import hashlibimport threadingstring = '0123456789'class BF(threadin

2021-08-03 16:07:54 1135

原创 [CISCN2019 华东南赛区]Web11

[CISCN2019 华东南赛区]Web11继续刷题，今天这道题以前做过（类似的）很好懂。开始拿到题目是一脸懵的，看到XFF伪造这个位置有点想法了，抓包那这儿是输入什么就显示什么吗？以前那道题就是ssti模板注入，我试试果然是，接下来开始注入一个一个的看当前目录下的东西，发现都没有，那应该是在根目录下了完事...

2021-08-03 14:46:41 1460 1

原创 [0CTF 2016]piapiapia

[0CTF 2016]piapiapia打开题目什么也没有，扫描一下，扫目录可以扫到源码,www.zip解压后在config.php里看见了flag，但不可读<?php $config['hostname'] = '127.0.0.1'; $config['username'] = 'root'; $config['password'] = ''; $config['database'] = ''; $flag = '';?>upload.phprequire_once('

2021-08-02 16:12:14 297

原创 [NPUCTF2020]ReadlezPHP

[NPUCTF2020]ReadlezPHP昨天休息，今天继续刷题F12查看一下有什么东西能用没有，发现新的页面，访问/time.php?source<?php#error_reporting(0);class HelloPhp{ public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date";

2021-08-02 15:11:30 1028

原创 [MRCTF2020]PYWebsite

[MRCTF2020]PYWebsite今日份刷题，嗯。。。搞得跟个商业网站似的，看一下前端源码在script里面有验证，那我们不通过直接访问flag.php不就好了，访问flag.php嗯，后端绕过，那就抓包伪造IP吧，抓哪个包诶？既然你这么叼那就抓一下flag.php试一试这里构造127.0.0.1是因为他提示自己，我认为是本地IP所有构造了127.0.0.1F12查看flag...

2021-07-31 14:46:21 632

原创 [SWPU2019]Web1

[SWPU2019]Web1继续刷题，这道题有难度，（应该是我菜）发现是注册登录界面当时就想admin登录，爆破密码什么的，没有用，老老实实注册登陆进去发现只有这些信息，申请发布广告里面这个地方应该有问题，sql注入一下1’回显这个，看一下详情欸嘿，sql报错，看来有注入了，尝试注入一下，发现or，空格，报错注入的函数等都被过滤了，这咋搞？看看大佬的wp吧，嗯。。。。无列名注入？这是个啥？这篇文章讲得很清楚嗯，知识点搞清楚了，方法也知道了，开整！先来常规的爆字符列数，手动探测列数，这里探测到有22列

2021-07-30 16:28:28 161

原创 [SUCTF 2019]Pythonginx

[SUCTF 2019]Pythonginx继续刷题，打开环境右键查看一下源代码@app.route('/getUrl', methods=['GET', 'POST'])def getUrl(): url = request.args.get("url") host = parse.urlparse(url).hostname if host == 'suctf.cc': return "我扌 your problem? 111" parts = li

2021-07-29 16:31:55 105

原创 [WUSTCTF2020]朴实无华

[WUSTCTF2020]朴实无华隔了几天了，继续刷题，一上来就叫我hack他这不好吧，看看有没有下手点发现了乱码，改一下bot?bot?bot?!robots!!，好吧robots.txt这个我是工具扫出来的，我的做法确实zz了，看一下吧访问该页面，好家伙，fake!想起开始的提示header，抓个包看看访问fl4g.php好家伙，让我去非洲哇<?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);h

2021-07-28 16:44:17 1678 2

原创 [CISCN 2019 初赛]Love Math

[CISCN 2019 初赛]Love Math刷题刷题，一上来就是代码审计看看，代码讲的意思是传入一个参数c长度不能大于等于80，然后有黑名单字符过滤，有白名单函数过滤，随便传一下他的例子en…它能够计算执行，那我们要读取flag就应该可以，补充一个概念：php中可以把函数名通过字符串的方式传递给一个变量，然后通过此变量动态调用函数比如下面的代码会执行 system(‘ls’);$a='system';$a('ls');我们构造$_GET[]然后再传入想用的exp，但是一些符号的过滤使得我们的构

2021-07-25 15:11:16 622 2

原创 2021-07-23

[BJDCTF2020]Cookie is so stable打开题目，根据提示看看cookie嗯。。。好像不是这么弄的。诶？回显就是这个吗？试试{{7*7}}判断一下模板类型，嗯嗯，是twig试试注入{{_self.env.registerUndefinedFilterCallback(“exec”)}}{{_self.env.getFilter(“cat /flag”)}}诶？！嗯。。。为啥呀，噢噢噢，好像是在cookie中注入，抓包注入git it！...

2021-07-23 16:29:42 61

原创 [De1CTF 2019]SSRF Me

[De1CTF 2019]SSRF Me继续刷题，打开题目嗯。。。一堆代码，整理一下#! /usr/bin/env python#encoding=utf-8from flask import Flaskfrom flask import requestimport socketimport hashlibimport urllibimport sysimport osimport jsonreload(sys)sys.setdefaultencoding('latin1')a

2021-07-22 21:34:39 93

原创 [NCTF2019]Fake XML cookbook

[NCTF2019]Fake XML cookbook日常刷题，打开题目嗯。。。一开始我的脑子里想到的是禁止自娱自乐[狗头]，哈哈，第一想法就是试一下admin，别问为什么,web狗的自觉。果然没这么容易，抓包：将提交的数据放到了doLogin.php下，题目提示XML，百度一下https://www.freebuf.com/vuls/175451.htmlxee外部实体，那么构建我们的恶意的外部实体，实现攻击。<?xml version="1.0" encoding="utf-8"?&gt

2021-07-21 16:36:39 2498 5

原创 [网鼎杯 2020 朱雀组]phpweb

[网鼎杯 2020 朱雀组]phpweb打开题目，一看就不简单，好嘛，还看不完全，一直刷新，抓个包。根据后面的提示好像前面是函数后面是参数，意思是用了call_user_func()函数。嗯。。。用file_get_contents(index.php)看一下源码` <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","pope

2021-07-20 15:58:52 2002 2

原创 [BJDCTF2020]The mystery of ip

[BJDCTF2020]The mystery of ip打开题目很好看，但是无从下手，各个网页也看了一下，没有思路。抓个包flag.php好像有点东西，IP？我试试伪造一下IP，xff试试成功伪造，那要怎么获取flag呢？迷茫，突然想起以前做ssti的时候有个{}构造，模板注入，试试{}运算能不能用欸嘿，系统方法直接cat /flag得到flag。...

2021-07-18 16:13:20 208

原创 BUUCTF刷题笔记[GXYCTF2019]禁止套娃

[GXYCTF2019]禁止套娃打开题目，啥也没有F12，抓包啥也没有，扫描一下，dirscher-master扫描不出来，用一下git hack，得到源码：<?phpinclude "flag.php";echo "flag在哪里呢？<br>";if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {

2021-07-02 16:47:57 315

原创 [MRCTF2020]你传你呢 1

[MRCTF2020]你传你????呢文件上传漏洞，打开题目随便上传个文件嘿呦，被过滤了，试试大小写等等，好像都绕不过。嗯。。。瓶颈，看看大佬wp，.htaccess文件，htaccess小知识.htaccess文件(或者"分布式配置文件"）,全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法，即，在一个特定的文档目录中放置一个包含一个或多个指令的文件，以作用于此目录及其所有子目录。作为用户，所能使用的命令受到限制。管理员可以通过Apache的AllowOver

2021-05-22 21:41:23 5561 1

原创 [GXYCTF2019]BabySQli

[GXYCTF2019]BabySQli 刷题笔记随便登录试试好像是有admin这个用户名（一般都有QAQ）,加入单引号，爆出错误，加入常规操作发现始终回显一样，看看源代码MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5 百度一下，会发现这个是base32+base64加密得到的，解密后得到select * from user whe...

2021-05-18 11:51:03 407

原创 [GXYCTF2019]Ping Ping Ping

[GXYCTF2019]Ping Ping Ping进入题目，根据提示想到题目是ping，来试试好像还是没有啥，加命令执行注意我的空间？应该是空格吧，那换种方式执行命令;ls发现两个文件，尝试cat一下ennnn…又再次报这个，应该是空格被过滤了吧看看如何绕过***空格过滤 *** ${IFS}替换 $IFS$1替换 ${IFS替换 %20替换 <和<>重定向符替换 %09替换试一下没什么变化，多出一个1？试试第二个$IFS$1发

2021-04-17 12:10:26 107

原创 BUUCTF[极客大挑战 2019]Secret File

BUUCTF[极客大挑战 2019]Secret File挺有意思的一道题，打开链接。蒋璐源的秘密？没兴趣，本人不喜欢探索别人的秘密。好吧，hacker喜欢。F12查看一下源码。出现下一个页面，点击试试嗯？！闪电侠也看不清，估计是玩我呢，退回刚刚的页面，F12看看果然，同样的错误不允许犯两次，嗯。。。。怎么办呢？抓个包看看。访问该页面果然就是这里，代码审计一下，包含一个file的文件，用get方式传输，如果存在…/,tp,input,data等就会输出Oh no！并且退出，说明要包含的文件不能

2021-03-22 17:39:56 1354 2

原创 sqli-labs 20

sqli-labs 20 cookie 注入来到20题，基础注入的最后一题了，加油！！！嗯。。。看不懂，但是多了一个cookie，想来应该与cookie有关，基于前几关的经验，抓个包看看发现网页显示跟抓包显示不一样了。。。回到proxy页面发现有另一个网页，分析这次一样了，而且cookie处变为了admin，有猫腻，看看源码后得知没有检查cookie，应该可以cookie注入尝试没有问题，是单引号闭合，开始尝试注入接下来就是常规操作了okk。...

2021-01-27 10:52:37 602

原创 sqli-labs19

sqli-labs19基于referer的SQL注入来到19题应该是要在Referer处入手了，抓包单引号闭合一下出现报错，说明能够进行注入，但是怎么注入呢？看一下源码只插入两个参数，根据18题的基础构造语句查库名’,updatexml(1,concat(0x7e,database(),0x7e),1))#接下来就是常规操作了Git it！...

2021-01-19 11:38:30 314

原创 sqli-labs 18 基于http头中的参数注入

sqli-labs-master/Less-18来到18关，跟前几关唯一的不同点就是多出一行提示尝试admin登录查看源码发现 $uagent = $_SERVER[‘HTTP_USER_AGENT’];$IP = SERVER[′REMOTEADDR′];echo"<br>";echo′YourIPADDRESSis:′._SERVER['REMOTE_ADDR']; echo "<br>"; echo 'Your IP ADDRESS is: ' .SERVER[′R

2021-01-18 11:32:57 271 1

原创 sqli-labs/less7

sqli-labs7看题目输入?id=1!尝试常规操作，id=1’ id=1"等，最后发现只有id=1’时会出现报错，那么开始猜，加括号（别问我为啥，因为习惯吧（狗头保命，大佬友善指点））。最后试出当id=1’))时页面显示正常然后又是接着的常规操作，查看字段union select 1,2,3时为正常显示,但是接下来就不能有常规手段暴库名了因为没有数据回显，所以常规注入进行不了，看看其他办法…Use outfile…试试，这里解释一下：outfile函数可以导出多行，而dumpfile只能导出一

2020-12-03 20:03:22 243

原创攻防世界php2

攻防世界php2（嗯。。。继续刷题了）打开场景好像无从下手。。。抓包也看不出来什么，打脑壳。输入index.php。啥都没有，紧接着输入index.phps,噢，出东西了，代码泄露代码不完整呀，在url输入view-source:查看源码，或者直接右键查看。代码审计，既要id=admin又不能让id=admin，不过"admin"===GET[id])"是===判断，所以这儿就直接看_GET[id])"是= = =判断，所以这儿就直接看GET[id])"是===判断，所以这儿就直接看_GET[id]

2020-10-19 17:33:07 235

devilare的博客