CTF WEB
K1ose
这个作者很懒,什么都没留下…
展开
-
[羊城杯 2020]Blackcat
访问页面,view-source一下;题目暗示要听歌;点开mp3文件,在结尾发现了php源代码;if(empty($_POST['Black-Cat-Sheriff']) || empty($_POST['One-ear'])){ die('谁!竟敢踩我一只耳的尾巴!');}$clandestine = getenv("clandestine");if(isset($_POST['White-cat-monitor'])) $clandestine = hash_hmac(原创 2021-04-04 22:39:44 · 1172 阅读 · 1 评论 -
[CISCN2019 华北赛区 Day1 Web1]Dropbox
打开靶机,注册一个账号,发现可以上传文件,只能上传png或者是jpg文件,上传之后可以选择下载文件或者查看文件;先看看有没有上传文件的漏洞,并没有测试出来,转而看看是不是任意文件下载的漏洞;抓包修改filename值;这里先看看index.php的源码,最终发现是在上两级目录里,查看到了源码;<?phpsession_start();if (!isset($_SESSION['login'])) { header("Location: login.php"); die()原创 2021-03-28 14:58:42 · 135 阅读 · 0 评论 -
[GYCTF2020]Ezsqli
访问页面,大孝子的微笑让我只能暗自庆幸现在是公司的午休时间;我果断抓包测试,不能在原页面上测;输入框填个1,返回了Nu1L;输入1',返回bool(false);这可是一个关键信息,可能是布尔盲注;fuzz一下,过滤的应该是符号+关键字+符号;所以or会被过滤, 直接用||代替就好了;试试布尔注入;-1||length(database())>1则返回结果为true,输出结果为Nu1L;当返回结果为false,输出结果为Error Occured When Fetch Res原创 2021-03-26 11:54:33 · 289 阅读 · 2 评论 -
[HFCTF2020]EasyLogin
访问页面,是个登录界面,view-source也没看到啥提示;在注册界面view-source,看到一个js文件;打开来看看,是js源码泄露;/** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */function login() { const username = $("#username").val(); const password = $("#password").val(); const token原创 2021-03-24 23:51:32 · 415 阅读 · 1 评论 -
[CSCCTF 2019 Qual]FlaskLight
访问页面,view-source一下;提示说有参数search,方法为GET;既然题目有个Flask,可以试试模板注入漏洞;?search={{7*7}}结果返回49;首先访问对象的继承类;{{ ''.__class__.__more__ }}得到选择第三个类;{{ ''.__class__.__mro__[2].__subclasses__() }}在输出结果里面找到file类,来进行读写;{{ ''.__class__.__mro__[2].__subclasses__(原创 2021-03-24 07:08:11 · 214 阅读 · 0 评论 -
[HITCON 2017]SSRFme
访问页面,代码审计;<?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"]; $sandbox =原创 2021-03-24 06:03:17 · 215 阅读 · 1 评论 -
[CISCN2019 华北赛区 Day1 Web5]CyberPunk
访问页面,view-source一下,发现最下边有提示传参?file=;伪协议读一下源代码;?file=php://filter/convert.base64-encode/resource=index.php得到的base64值解码;这里只提取php代码;<?phpini_set('open_basedir', '/var/www/html/');// $file = $_GET["file"];$file = (isset($_GET['file']) ? $_GET['fil原创 2021-03-24 04:56:15 · 156 阅读 · 1 评论 -
[RCTF2015]EasySQL
访问页面,有login和register两个选项;那当然是register啊,先fuzz测试一下有哪些字符进了黑名单;200是被ban的,302是没有被ban 的;原创 2021-03-23 22:04:24 · 172 阅读 · 0 评论 -
[Zer0pts2020]Can you guess it?
访问页面,点source看源码; <?phpinclude 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)");}if (isset($_GET['source'])) {原创 2021-03-23 13:42:39 · 130 阅读 · 0 评论 -
[网鼎杯 2018]Comment
首先访问题目链接;试了一下xss,弹出一个登录框,需要登陆;查看源码的时候发现了有write_do.php这个文件;想到会不会有git泄露;我用的是gitExtract;发现果然有git泄露,看看源代码;看看都拿到了什么文件;第一个write_do.php中代码有缺省的情况,看了网上发现大家都用的是git恢复;第二个文件write_do.php.8ef569就是源代码文件了,具体我也没有去分析GitExtract的代码是什么,可能是直接就尝试git恢复了;这里把源码贴出来好分析;&原创 2021-03-23 10:10:29 · 175 阅读 · 0 评论 -
[CISCN2019 总决赛 Day2 Web1]Easyweb
访问页面;看到login页面不能心急,先进行一波信息收集,看看有没有其他文件;在view-source中看到user.php;再看看robots.txt等等;也可以用wctf-scan扫一下;可以看到有备份文件;扫描一下,得到image.php.bak文件;以下为源码:<?phpinclude "config.php";$id=isset($_GET["id"])?$_GET["id"]:"1";$path=isset($_GET["path"])?$_GET["path原创 2021-03-15 14:33:01 · 154 阅读 · 0 评论 -
[WUSTCTF2020]颜值成绩查询
访问页面;分别输入1,2,3,4,为4个不同的结果,根据提示猜测应该是SQL注入;在测试了各种类型的注入后,锁定为布尔注入;首先输入if(length(database()>1,1,0)输出了stunum=1的结果;当输入if(length(database()>10,1,0)则输出了stunum=0的结果;这样我们就可以写脚本;import requestsimport timeflag = ""for i in range(1, 100): low =原创 2021-03-11 00:39:37 · 249 阅读 · 0 评论 -
[FBCTF2019]RCEService
访问页面,要求以JSON格式输入要执行的命令代码;尝试一下?cmd={"echo":"'hello,wolrd'"}结果被过滤了;思考了一下,觉得可能是cmd对应执行命令;试试?cmd={"cmd":"ls"}结果成功执行了;现在来找找flag;输入?cmd={"cmd":"ls /"}很不幸被过滤了;试了很多种方法,都会被过滤;思考了一下, 可能使用正则表达式去匹配的关键字;如果不能正常得绕过关键字,那就把preg_match绕过吧;preg_match只匹配第一原创 2021-03-10 12:00:57 · 236 阅读 · 0 评论 -
[MRCTF2020]套娃
访问页面,查看源代码,有一段PHP代码提示;首先可以看到对输入的参数做了过滤,我们需要让b_u_p_t这个参数的值等于23333,但是不能是数字形式,而且第一个if会过滤下划线;如果用空格,也就是%20代替下划线,可以起到同样的效果;如果数字字符串到末尾遇到换行符,即%0a,会将数字字符作为字符串处理;所以payload为?b%20u%20p%20t=23333%0a访问后,得到信息,尝试修改一下XFF;修改发送,但是没有用,看了一下源码,这东西好像在知乎上看到有人发过;了解了一下,原创 2021-03-09 10:09:00 · 249 阅读 · 0 评论 -
[极客大挑战 2019]RCE ME
访问页面,上源码;<?phperror_reporting(0);if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long."); } if(preg_match("/[A-Za-z0-9]+/",$code)){ die("NO."); } @eval($code);}else{ highl原创 2021-03-08 23:44:40 · 354 阅读 · 0 评论 -
[BSidesCF 2019]Futurella
访问页面,上来就是火星文;右键查看一下源代码???这我都不好意思发布文章了…flag{8be4aa0b-ad12-4042-961c-7ada92e9efe3}原创 2021-03-08 22:36:21 · 425 阅读 · 2 评论 -
[GWCTF 2019]枯燥的抽奖
访问页面;查看页面的源代码,可以发现存在名为check.php的文件;访问则得到check.php的源代码,是生成随机种子的代码;<?php#这不是抽奖程序的源代码!不许看!header("Content-Type: text/html;charset=utf-8");session_start();if(!isset($_SESSION['seed'])){$_SESSION['seed']=rand(0,999999999);}mt_srand($_SESSION['seed原创 2021-03-08 16:44:04 · 165 阅读 · 0 评论 -
Smarty SSTI--[CISCN2019 华东南赛区]Web11
Smarty SSTI–[CISCN2019 华东南赛区]Web11访问页面,页脚提示smarty;根据先前对Smarty的接触,比较了解的是SSTI的漏洞;题目提示了XFF,试一下XFF处有没有SSTI漏洞注入点;抓包修改,添加XFF;{{7*7}}可以注意到response的信息中,有一处变化;证明确实存在SSTI漏洞;输入{$smarty.version}以获得对应的smarty版本;输入{$smarty.template}以返回当前的模板文件的名称;输入{i原创 2021-03-08 11:11:45 · 202 阅读 · 0 评论