- 博客(128)
- 收藏
- 关注
RSS订阅原创 web:shrine
理清思路,由于代码可以知道flag存储在config中,可以直接构造payload查询。绕过思路,代码里有过滤,会把()替换,这里可以双写绕过,用命令执行读取文件。由代码可知,config['FLAG'],所以可以得到flag。查看源代码,查看可知为ssti注入。如果是不清楚flag存在哪里,就需要先获取全局变量。根据上述文章,也可以使用另一个payload。先可以测试一下是否存在ssti模板注入。另一个思路,这里可以参考一篇文章。回显成功,存在ssti模板注入。根据文章,payload如下。
2024-03-13 22:23:57
361
原创 web:ezbypass-cat(白名单目录穿透漏洞、重定向)
使用bp抓包,网站目录爆破,发现flag.html,发现进行了重定向,需要burp抓包才行。尝试一下sql注入,也没有结果,这里看了大佬的wp,发现是目录穿透。查看源代码,没有发现提示。进入页面,页面显示如下。
2024-01-16 23:47:56
572
原创 web:[BSidesCF 2020]Had a bad day(伪协议、协议嵌套利用、strpos()函数)
通过源码可知,必须要含有woofers、meowers、index其中一个,直接查找flag是找不到的,这里需要包含其中一个。如果存在,则继续执行下一步;如果不存在,则不执行任何操作。这里用到伪协议,用php://filter读取php文件源码内容。可能是被拼接了,删除后面的php就行。进入页面显示如下,有两个选项。从URL的查询参数中获取名为。这里利用strpos()函数。这里可以注意到url的变化。没有正常显示,查看报错信息。如果满足前面的条件,则使用。所指定的PHP文件。
2024-01-02 22:51:25
663
原创 web:[BJDCTF2020]The mystery of ip(ssti模板注入、Smarty 模板引擎)
这里尝试抓包加上X-Forwarded-For请求头修改为127.0.0.1。尝试了{{config}}报错,报错信息显示smarty模板引擎。输入{{2*2}},回显4,确定为ssti注入。直接cat发现有两个flag,真的在根目录下。这里发现输入什么就回显什么,存在ip伪造。在hint.php的源代码页面中发现。了解一下smarty模板引擎。由题目可以知道要从ip入手。点击flag页面得到ip。
2023-12-30 18:13:34
515
原创 [RoarCTF 2019]Easy Java(java web)
servlet:Servlet(Server Applet)是Java Servlet的简称,称为小服务程序或服务连接器,用Java编写的服务器端程序,具有独立于平台和协议的特性,主要功能在于交互式地浏览和生成数据,生成动态Web内容。总之,WEB-INF目录是Java Web应用程序中的一个特殊目录,包含了Web应用程序的配置文件、类文件和JAR文件等。WEB-INF是Java Web应用程序中的一个特殊目录,它位于Web应用程序的根目录下。此外如果想在页面访问WEB-INF应用里面的文件,
2023-12-29 22:46:23
1137
原创 web:[GXYCTF2019]BabyUpload(文件上传、一句话木马、文件过滤)
尝试上传.htaccess,上传失败,用抓包修改文件后缀。文件后缀名为image/jpeg,抓包修改文件后缀名。上传了一个包含php一句话木马的文件,显示如上。返回题目首页,找到了题目源码。上传包含一句话木马的图片。随便上传一个文件看看。上传一个文本文件显示。
2023-12-07 23:38:01
507
原创 web:[SUCTF 2019]CheckIn(一句话木马,.user.ini)
换一种写法,需要加上GIF89a,进行exif_imagetype绕过。这里用.user.ini或者用post传参system('cat/flag')上传了一个文本,显示失败,不是图片。上传文件,随便上传一个文件试试。.user.ini内容为。那就换图片马上传试试。
2023-12-06 23:09:40
110
原创 web:very_easy_sql(sql、ssrf、gopher协议sql注入)
通过报错信息,可以找到闭合点,有报错信息,直接使用报错注入。数据库信息被回显出来了,报错信息可以使用,按正常的步骤走。联系之前原始页面写的“不是内网用户,无法别识身份”构造payload,检查是否可以进行报错注入。解码结果为admin,cookie为注入点。随便输入了一个,发现url有参数显示。把这个set-cookie解码出来为。试一下靶机的网址,返回nonono。查到flag表里只有一个flag列。查看源码,找到一个use.php。显示不是内部用户,无法识别信息。用bp抓包修改信息后,显示如下。
2023-12-02 22:01:48
407
原创 web:ics-05(本地文件包含漏洞、preg_replace函数/e漏洞、php伪协议读取文件)
作用:搜索subject中匹配pattern的部分, 以replacement的内容进行替换。$pattern: 要搜索的模式,可以是字符串或一个字符串数组。就是替换字符串,要使 replacement 参数是我们想要的php代码即可。$subject: 要搜索替换的目标字符串或字符串数组。$replacement: 用于替换的字符串或字符串数组。返回了,写入的参数,猜测可能有文件包含漏洞。正确的php system()函数的书写。进入flag/,发现flag.php。
2023-11-30 20:15:44
487
原创 web:catcat-new(文件包含漏洞、flask_session伪造)
proc/self/mem是当前进程的内存内容,通过修改该文件相当于直接修改当前进程的内存数据。通过/proc/PID可以访问对应PID的进程内核数据,而/proc/self访问的是当前进程的内核数据。flask_session的伪造需要用到secret_key,而secret_key的值可以通过内存数据获取。先读取/proc/self/maps文件获取可读内容的内存映射地址。/proc/self/maps包含的内容是当前进程的内存映射关系,可通过读取该文件来得到内存数据映射的地址。
2023-11-30 15:33:21
745
2
原创 web:NewsCenter
是因为单引号与服务端代码中的’形成闭合,输入的字符串hello包裹,服务端代码后面多出来一个‘导致语法错误,而加入#将后面的’注释掉之后不会报错,可确定为字符型SQL注入。,可判断注入为字符类型注入。说明union后的第2、3列被显示出来,因此我们可以利用这两列获取当前数据库、当前数据库所有列表名、列表所有字段名。页面有个输入框,猜测是sql注入,即search为注入参数点,先尝试一下。获得列名为fl4g可能存放着flag。读取文件,获得flag。
2023-11-29 00:23:49
86
原创 web:[NPUCTF2020]ReadlezPHP
并在构造函数中将它们分别初始化为字符串 "Y-m-d h:i:s" 和 "date"。函数将当前文件的源代码高亮显示并输出,然后终止程序。然后,通过判断 GET 请求中是否包含参数。符号将可能产生的错误屏蔽,防止错误信息泄露。这段代码是一个简单的 PHP 类,名为。,它在对象销毁时被调用。猜测可能是过滤了部分函数,尝试用别的。发现一个网址,访问这个页面查看。参数反序列化为对象,并使用。没发现其他的线索,查看源代码。函数将 GET 请求中的。类中还定义了一个析构函数。之后的代码中,创建了一个。
2023-11-27 22:17:15
309
原创 web:[ZJCTF 2019]NiZhuanSiWei1
据题目给的代码,需要将代码序列化之后,会赋值给password,password会被反序列化成原来的代码再赋值给password,然后echo $password,这里构造的php代码(file)就是一个类,通过base64解码之后得到代码中_tostring这个函数,在类被echo会被调用,就相当于echo 了一个类,就会触发到我们写的代码里的tostring。file_get_contents是得读取到文件里的内容,而$text是一个变量,file_get_contents不能读取一个变量,所以必须。
2023-11-25 21:24:41
469
原创 pwn:[SWPUCTF 2021 新生赛]nc签到
cat和空格都被过滤了,cat可以换成c\at ,空格可以换成$IFS$9。配合题目的下载附件,发现过滤了一些,一旦输入这些会自动关闭程序。ls被过滤了,可以使用l\s。linux环境下显示为。
2023-11-24 17:43:13
112
原创 web:[WUSTCTF2020]朴实无华
level1代码中,intval()函数将$num转换为整数类型,并进行比较判断,如果$num小于2020且$num+1大于2021,则输出消息“我不经意......”意思为不能修改报头信息-报头已经发送(输出开始于/var/www/html/index.php:3)在/var/www/html/index.php第4行。level2是md5,找到一串数字使它md5加密后的数值和原来的相等,php具有弱类型,==进行比较的时候会先将字符串类型转化为相同,再比较。中不包含空格,则执行下面的代码;
2023-11-24 00:08:48
578
原创 web:[GXYCTF2019]禁止套娃
最后代码会检查参数中是否包含特定字符串,如"et", "na", "info", "dec", "bin", "hex", "oct", "pi", "log"等。\)\),可以迭代下去,那么它所匹配的就是print(echo(1))、a(b(c()));首先使用了正则表达式匹配来检查exp参数中是否包含“data://”,"fliter://","php://","phar://"等协议,日若包含其中任何一个协议,会输出。是PHP的一个函数,用于启动一个新的会话或者恢复一个已存在的会话。
2023-11-21 23:53:30
309
原创 web:[BUUCTF 2018]Online Tool
system执行一条nmap命令在后面拼接上$host的内容,而$host是变量可控的,可以想到使用&&执行多条命令,但是代码中存在对host的过滤:escapeshellarg和escapeshellcmd两个函数。若设置了,host的值会被存储到变量$host中,然后将escapeshellarg函数会对其进行转义处理,以防止注入攻击。写入文件成功,接下来访问写入的文件,由代码审计可得,文件再$sandbox目录下。可以利用这点进行恶意语句插入,但&&、||等逻辑符号都会被转义,)和一个固定字符串(
2023-11-16 23:53:09
142
原创 web:[网鼎杯 2018]Fakebook
但是之前爆列名的时候没有blog,所以我们要设置的点就是data那里了,所以在第四列进行注入,需要把序列化的句子包在单引号里。通过get获得指定的URL,设置curl 参数,并将指定URL的内容返回,只要返回内容不为404即可。扫出另一个flag.php和robots.txt,访问flag.php回显内容为空。网页提示/user.php.bak,直接访问会自动下载.bak备份文件。这一串序列化的结果为注册的账号,被序列化输出,结合之前的代码审计结果。这里用了union select,发现被过滤了。
2023-11-11 23:12:33
100
原创 web:[CISCN2019 华北赛区 Day2 Web1]Hack World
打开页面,页面提示为,想要的都在‘flag’表和‘flag’列里。随便输入一个数字看回显(1 2 3),发现回显不一样。这里使用了bp抓包,发现关键字都被过滤了。输入单引号,显示bool(false)这里用异或算法进行绕过。
2023-11-04 23:58:10
121
原创 web:[GYCTF2020]Blacklist
猜测flag在FlagHere表中。这里猜测flag在flag列中,尝试获取内容,提交为3-1,发现页面回显为空白。猜测是sql注入,先测试。回显了黑名单限制的关键字。点开靶机,页面显示为。可以判断为字符型注入。
2023-10-31 23:57:31
90
原创 web:[网鼎杯 2020 青龙组]AreUSerialz
这里有__destruct()函数,在对象销毁时自动调用,根据$op属性的值进行一些操作,并重置属性的值,后再次调用process()方法,同时该函数会根据op变量值的不同,会相应调用读写函数。总体解题思路为,构造反序列化给str变量,当主函数进行反序列化时,调用了FileHandler类,读取flag.php。接收到名为str的get参数,参数会被反序列化,并创建一个对象,在反序列化之前,会使用。2.php的序列化字符串中只要把其中的s改成大写的S,后面的字符串就可以用十六进制表示。
2023-10-30 00:03:04
3588
1
原创 web:[MRCTF2020]Ez_bypass
get参数传参,后判断md5后的值是否相等,这里为===强等于,可以将参数设置为数组进行绕过,若是双等号弱等于,可以找两个md5加密后开头都是0e的参数进行绕过(会被认为是科学计数法)用post传参password,使用了is_numeric判断是否是数字,若判断不是数字,就判断是否为1234567,这里需要绕过is_numeric。进行代码审计,先看第一段。
2023-10-19 21:55:04
4986
原创 web:[极客大挑战 2019]HardSQL
这里按照常规思路继续使用order by函数和union select函数进行查询,但是页面没有任何显示。这里也是显示不全,按照上面的updatexml后的方法进行补全即可。这里空格和=没有,使用()代替空格,使用like代替=题目名为hardsql,先来尝试有无sql注入存在。查看源代码没有发现其他的提示信息,随便尝试一下。发现flag显示不全,函数显示有字符数限制。先查询数据库,构造payload。查询表,构造payload。查字段,构造payload。可得知数据库名为geek。
2023-10-19 19:57:50
447
2
原创 web:[MRCTF2020]你传你呢
这里参考了大佬的wp,上传一个.htaccess文件,这个.htaccess文件的作用就是把这个图片文件解析成php代码执行。上传文件,先随便上传一个文件看看情况。.htaccess文件的内容为。回显一片空白,说明木马上传成功。构造含有一句话木马的图片上传。这里用bp抓包修改类型。在根目录找到flag。
2023-10-10 23:11:19
572
3
原创 web:[HCTF 2018]admin
显示admin已经被注册了,所以知道用户名为admin,先就是猜测密码是什么。这里用bp抓包,使用字典进行爆破可得密码。页面没有其他的提示,查看源代码。先注册一个admin账号试一下。得到密码,登录即得到flag。这里提示不是admin。没有账号,先注册一个。输入账号密码显示如下。
2023-10-09 22:30:06
102
原创 web:[护网杯 2018]easy_tornado
因为render()是tornado里的函数,可以生成html模板。是一个渲染函数,就是一个公式,能输出前端页面的公式。tornado是用Python编写的Web服务器兼Web应用框架,简单来说就是用来生成模板的东西。和Python相关,和模板相关[护网杯 2018]easy_tornado_超级兵_140的博客-CSDN博客。
2023-10-08 23:39:38
183
原创 web:[RoarCTF 2019]Easy Calc
1.php的字符串解析特性我们知道PHP将查询字符串(在URL或正文中)转换为内部GET或的关联数组_POST。例如:/?foo=bar变成Array([foo]=> “bar”)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id]=> 42)2.scandir()函数3.var_dump()函数[复现] [RoarCTF 2019]Easy Calc-腾讯云开发者社区-腾讯云。
2023-10-01 13:02:02
266
原创 web:[极客大挑战 2019]PHP
1.从__destruct,__construct,__wakeup可以判断存在反序列化漏洞2.php序列化与反序列化序列化:函数为serialize(),把复杂的数据类型压缩到一个字符串中 数据类型可以是数组,字符串,对象等反序列化:函数为unserialize(),将字符串转换成变量或对象的过程常用的内置方法:__construct():创建对象时初始化,当一个对象创建时被调用__wakeup() 使用unserialize时触发。
2023-09-30 23:42:59
7639
原创 web:[ACTF2020 新生赛]Upload
根据之前的上传文件之类的题目,这里使用bp抓包后改后缀名为phtml。点进页面,是一个文件上传,能联想到getshell。显示上传的文件以jpg、png、gif结尾的图片。构造一句话木马,再将文件后缀改为jpg。成功执行phpinfo,使用蚁剑链接。显示上传成功,但是显示无法解析成功。尝试一下能不能执行php代码。先尝试随便上传一个文件试试。
2023-09-29 22:30:52
231
原创 web:[极客大挑战 2019]Upload
1.图片文件头:GIF89a2.黑名单检测:phtml,在php中等有概率能够解析为脚本执行。3.检测拦截<?
2023-09-29 22:07:07
639
原创 web:[极客大挑战 2019]LoveSQL
用union来查询测试注入点,查看回显点CTF-Web-[极客大挑战 2019]LoveSQL - 知乎LoveSQL-CSDN博客。
2023-09-29 19:18:48
462
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人