fightte的博客

~[NEWSCTF 2021]easy_web 和 签到~之前打了萌新杯，然后就是这样，题目的质量很高，也得到了很多新的经验也得到了新的知识，题目是新奇的。[newsCTF 2021] easy_web界面：进入：就这么多源码：<?php highlight_file("index.php") ?> </div> <div class="content"> <?php

[DASCTF X BUU 2021] Holmes复现确实参加了，假装做出来一道假装自己打出来了：就只有一张图片:上面是跳舞的小人，直接网上搜解密：是YOU,ARE,HOLMES把图片跑一下hex:末尾直接有rar文件文件头：提取出来，用图片上的密码来解压缩包：密码就是YOUAREHOLMES，没有图片上的标点：是一个py文件：flag="flag{********************************}"encflag=[]for i in range(

[网鼎杯2018]Unfinish熟悉的二次注入：是sql注入题目:常见的目录规则，让人想起register.php，扫描目录也扫出来了：注册：登录进去，搜寻信息：用户名被显示出来，试试二次注入：

[b01lers2020]Welcome to Earth进去：键盘有任何输入都会跳转到：那就抓包：第一个页面，前端暴露了js代码：一直抓包就行了：去/leftt/继续走：继续在网址栏输入：!还是有js代码：直接去：东西真多：再走：最后一页了，就是让你拼字符串拼flag，自己可以直接看出来，也可以用脚本拼：pctf{hey_boys_im_baaaaaack!}...

界面如下，点击可以看到各种信息，讲的是火星上的事物：扫描一遍，没有发现任何东西：并没有备份文件，猜测可能是一些框架的注入之类的，在各页面抓包查看是否有可疑传参：某一个页面，看到有类似查询的参数：传参的数据如果是地名，则显示json形式的页面信息，尝试注入：通过这个形式显示，信息：尝试:/query?search=amazonis_planitia union select version(),database()将表名聚合在一起：爆出表名对了，下面这是最常见的对没有过滤的s..

[CISCN2019 总决赛 Day1 Web4]Laravel1界面如上，比较单一：指出了反序列化的点：还有备份文件。下面反序列化的入口：就当找到了吧：确实可以跳转：可控：寻找这个类，看是否被调用：开始寻找使用了saveDeferred类的：看别人的WP这个是唯一可以使用的:调用了本类的initialise方法，但前文并没有定义，据其他WP说是会去父类找,偷一张其继承关系的图：查询得到其主要父类，尝试全局搜索initialise()include可以使用：那么在之前的那个

前言还是之前打的mrctf,难度比较大，也是第一次正式比赛出现了lara题目，近来多数比赛，包括CISCN都习惯出lara的题目，算是比较好的框架，但当时被带的做起了，现在复现一次：考察的是Laravel的CVE-2019-9081，影响版本为5.7.x,当时别个搜CVE也能搜出来，先下载下来，lara5.7但lara5.7里面没有vendor,在文件夹下，用cmd命令 composer install就可产生：开始对比：主要差别确实就是MRCTF的www_laravel，其app/Http/

[CISCN2021] 初赛 easy_source国赛，很有经历和意义，希望继续挑战国赛和大家做的一道题，国赛比较难，只有现在有时间回过去看看：进去后，界面大概如上图，提示如上图：猜测备份文件，实际上当时没扫描出来，试了.svn .swp .swo等，后来别个提示才发现：实际上前面要加一个点，也就是.index.php.swo现在看来应该去考虑php的原生类反序列化，是一个典型题目：使用[反射类]new ReflectionClass("类名")，获得这个类的信息参考：http

不能忘记带来一切的基础同样的一道XXF有关的题目，第一个界面如下，题目提示 the mysrery of ip左上角的菜单有三个选项：flag:真就显示了我电脑主机的ip地址hint:提示，为什么会知道我的ip地址，联想到x-forwarded-for,抓包：对XFF的更改，会影响在前端界面，果然他就是读取了XXF;查看答案，明白这是用到SSTI,完全不明白：但答案就是如此;在XXF构造：{{ls}}利用典型的SSTI渲染模块漏洞，使其输出了菜单内容，那输入cat /fl

很久以前的JAVA题目：但还没有跨入JAVA反序列化的道路：前端后端无信息：点击help出现，java有关的报错：看被人的提示：抓包查看配置信息：由于用get方法无法下载到文件，因此将get改为post即可下载到help.docx但没有更多的提示题目其实是WEB-INF中的web.xml配置文件泄露：尝试抓包，将filename改为WEB-INF/web.xml成功将其下载了下来：这里看到有flag相关的信息：也将其下载下来：payload:?filename=WEB-I

之前打的MRCTF，没做出来什么题，也算是一种体验了~这是大佬带出来的一道题：进去之后是一个前端界面，先看前端，有一个输入框，输入域名来检测是否能连通，右上角，有一个waf source,可以点击：得到和waf有关的源码：import re,sys import timeout_decorator @timeout_decorator.timeout(5) def waf(url): # only xxx.yy-yy.zzz.mrctf.fun allow pat = r'

更长：<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content

算是碰到的第一道TP5的题目：界面如上：查看是典型的thinkphp的漏洞：输入？s=1得到更多信息：尝试post输入如下payload,可以构成命令执行漏洞：_method=__construct&filter[]=system&server[REQUEST_METHOD]=ls /尝试把ls改为cat等，得出flag...

这才是一道，当时令人感觉到难度的题目：如图：典型的代码审计。第一条，先从$text中读取文件内容。用php伪协议中的data或者input方法进行传入数据。data伪协议:?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=成功，接下来看：利用php://filter:读取useless.php里的东西：&file=php://filter/read=convert.base64-encode/resource

打开如上：前端几乎没有任何东西：抓包，找到了一个超链接，跳转到Secret.php说不是从https://www.Sycsecret.com来的，那就去更改一下请求头吧。将抓到的包，右键send to reapter.在repeater中更改其文件请求头：提示请使用Syclover browser,即使用要求的浏览器，则更改user-agent:提示，使用本地读取：本地伪造IP:X-Forwarded-For: 127.0.0.1...

输入框，输入并没有任何的输出和提示。抓包，在响应头中发现有提示：提示后台查询语句，同时提到函数md5(xxx,true)，去了解这个函数，了解到输入ffifdyop构成漏洞，F12查看到如图的代码：<!--$a = $GET['a'];$b = $_GET['b'];if($a != $b && md5($a) == md5($b)){ // wow, glzjin wants a girl friend.-->传入的a变量和b变量不相等，但.

进去的界面长这样，如上图.题目是备份文件，暗示找备份文件。前端什么有用的信息也没有。使用dirsearch扫描后台，找到可进入的内容，并且备份文件多为.bak形式。下载下来，打开后长这样：意思为: 通过get形式传入变量key,在第6行，判断其是否为数字，如果不是数字，则结束，则必须是数字。intval()意为对key进行取整数。就是将各种类型的数转换为一个整数。第十一行，’’==’'可以利用php的弱类型，即前几个数相等就行了，传入?key=123即可。...

界面是这样，说到文件备份，可以使用工具dirsearch对其网站目录进行扫描：dirsearch是用python写成的目录暴力扫描工具，扫描方式如下：\...\...\dirsearch.py -u [网址] -e [网站语言]扫到一个绿色的压缩包文件：在网址一栏输入/www.zip,提取文件：class.php，代码如下：<?phpinclude 'flag.php';error_reporting(0);class Name{ private $use.

界面就长这样，提示在url栏，进行/?ip=输入试试。输入127.0.0.1并没有特殊的返回。是命令注入的题型：先尝试输入|cat xx,利用cat指令连接文件并打印出来：cat一个任意值，貌似被过滤了。尝试输入|ls，进行查看其php文件内容：显示有这样两个文件，但是直接连接什么也没有显示，尝试通过cat连接，即cat flag.php,还是什么也没有，或者直接返回了上一个界面。推测有过滤：语句提示空格被过滤了。尝试将空格转化为其他的东西，建议换为${IFS},这是shell语言.

开始长这样:点击超链接进行跳转，跳转到Archive_room.php跳转到这样的界面：红色的SECRET按钮,点击：一瞬间就到了end.php，提示回去在仔细看看，可以考虑用burp suite进行抓包。抓包过程中，在action.php中发现了提示：secr3t.php,进入看看：成功看到php代码，暗示flag在flag.php里进入之后，发现什么都没有，暗示flag就在这里，通过抓包不能发现flag回到secr3t.php看看，这里的strstr函数用于判断，后面的字符

界面长这样：尝试输入1’判断是否有注入漏洞：这样的报错，可以看出是有的。输入万能密码进行尝试 1’or 1 =1 #进行尝试：登录成功，输出了奇怪的字符串，但与密码学无关。是get型的输入，将网址栏的password进行改变，改为：13‘发现出现了和13’有关的报错。判断是字符型，而不是整型。尝试在password处使用sql语句进行堆叠注入：好复杂，暂时放下，。。。。。。继续：尝试使用order by 语句查询字段数：字段数为3时，应该是存在的，但转到4就不存在了。?.

提交1和2会回显一个数组：相当于1对应的值为“hahahah”是key-value形式的输出。尝试输入1’.返回报错，有注入漏洞尝试1’or 1=1#，并用#截断,输出了三个数组:尝试堆叠注入，即注入多组sql语句，其中有;隔开，输入show databases返回了所有的数据表，尝试查询表名：show tables;显示了表的名字，在使用sql语句，show columns from xx，来查询其中列的名称：上图是word的列名，下图，再查出1919…中的列名：用sql

1.这是一道CTF题目：点击tips超链接标签从上图，以及题目名字，include暗示，可能是题型文件包含漏洞:使用php伪协议，input，明显被过滤了。使用filter协议输出base64密码：

2020UNCTF writteup 部分题解（MISC,CRPTO）开头：之前打完了2020年的UNCTF，当然7天学了很多，打了很久，现在分享几道题，记录一下：REVERSE:(逆向)1.将下载的exe文件放入ida进行反编译：查看框体图，明显看到下面分支有一个判断。通过伪代码也可以看出：进入str2可以看出str2里有疑似flag的数据，按r键改成字符串：就是flag!CRYPTO：hint提示到：大法官很缺营养：在查询CTF常用密码时，看到了培根密码，暗示此题