- 博客(8)
- 收藏
- 关注
RSS订阅原创 HNCTF 2022 Week2 web方向
进题后找了一下,发现除了一个外部链接什么也没有,随后用Arjun爆破了一下是否有可传递的参数,成功发现了用GET方式上传的name参数结合题目可知是ssti注入,用name传入**{{6*6}}**得到回显36,证明该处是注入点。不存在过滤,直接使用tplmap获取shell,然后抓取flag。
2024-04-24 17:53:29
584
3
原创 PolarCTF春季个人挑战赛 2024 WEB
又是反序列化的题目,入口应该是Polar类中的__wakeup()魔术方法,反序列化过程中如果没有改变O的个数该方法会被优先调用,同时该方法中调用了一个不存在的方法hacker(),由此就会触发Night类中的__call类魔术方法,同时该方法中的echo语句又可实现将类当成字符串调用,以此触发__toString()魔术方法,由于该方法中将flag替换成了空,我们可以尝试使用双写绕过,具体POC如下。方法,形成变量覆盖,具体的poc如下。好好好,又是折腾半天没弄出来的,摆了,日后再补上。
2024-03-27 19:33:36
1039
原创 PolarD&N 中等难度
是为了闭合前面的语句/*注释掉了后面的语句,由于第二个preg语句对该payload进行了过滤cat,tac,等无法使用,可以用less,more,head,tail,od等进行替换,该payload中间的+是因为使用的是bp上传,如果没有加号会导致payload后半部分无法读入,故用+连接,如果使用hackbar则不用+号。又是和反序列化相关的题目,为了使fetflag方法运行,直接赋值Polar1和Night,使其实现相等判断,由于这些变量具有私有属性或保护属性,调用时需要使用伪变量,具体脚本如下。
2024-03-26 19:44:39
864
原创 Polar靶场 简单难度
该代码中存在str_ireplace()函数,该函数的具体作用就是在第三个参数中寻找第一个参数,找到后替换成第二个参数的值,第四个参数(可不写)记录替换次数,于是我们在上传木马文件时将后缀由php改为pphphp。用该jwt代替原有的jwt值发包,发送之后发现什么也没有,查看了wp之后得知用户名应该是admin而不是admin,于是再用admin作为id得到新的jwt,替换后发包,在密码处得到flag。发现cookie为user=user,抓包将user修改为admin后上传,得到flag。
2023-12-26 00:17:05
1332
原创 SWPUCTF 2023——WEB方向
该题主要考察的是pop链的构造,代码审计后可知pop链的尾部位于Nss类中,为了调用该类中的invoke()魔术方法并且不触发wakeup()魔术方法,需要将对象的属性数量增加。然后再逐步向上找,找到C类中的get方法,然后是T类中的toString方法,再之后是F类中的destruct。最终得到的反序列化串如下。由题可知,该题考的是md5加密和sha1加密的强相等绕过,由于该两种加密方式都无法加密数组,所以可以用数组进行绕过,构造如下语句。页面出现提示,让我们使用蚁剑,不过用bp上传也是一样的。
2023-12-24 22:15:09
984
原创 LitCTF-web方向
接下来用脚本对admin进行伪造,密钥猜测为"LitCTF"(看wp知道的,也可以用脚本对密钥进行爆破,不过没有任何已知条件的情况下,六位的密钥爆破完不知道要花多久)CTF=Lit2023后跳转,然后用bp抓包,用post方式提交Challenge=i’m_c0m1ng,得到flag(使用hackbar更加方便,但我的hackbar还在因不明原因无法正常使用)根据该语句尝试拼接并开始爆库,爆表,爆列,爆值,一路爆下去,得到flag。于是根据该代码用bp抓包并构造语句,以post的方式上传,得到flag。
2023-12-24 12:48:45
390
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人