2021-5-5 buu刷题记录

最新推荐文章于 2021-07-17 23:25:00 发布
VIP文章 最新推荐文章于 2021-07-17 23:25:00 发布
阅读量373 收藏
点赞数
分类专栏: CTF题目 # buu 文章标签: php 安全 filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kuller_Yan/article/details/116430651
版权

生活所迫,从头捡回来

第一题:

CTF-BUUCTF-[HCTF 2018]WarmUp

php代码审计题

四个if判断 只有最后一个走得通,就是把第二个?进行2次url加密
然后得到%253f 然后构造payload:file=source.php?file=source.php%253f../../../../../ffffllllaaaagggg
这样flag就出来了
在这里插入图片描述
第二题:

[极客大挑战 2019]EasySQL

万能密码直接出
在这里插入图片描述
第三题

[强网杯 2019]随便注

堆叠注入 很早之前写过的

最低0.47元/天 解锁文章
kuller_Yan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
apachecn#apachecn-ctf-wiki#[WP/BUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
BUU-crypto-刷题记录02
m0_57291352的博客
06-03 381
还原大师 题目 我们得到了一串神秘字符串:TASC?O3RJMV?WDJKX?ZM,问号部分是未知大写字母,为了确定这个神秘字符串,我们通过了其他途径获得了这个字串的32位MD5码。但是我们获得它的32位MD5码也是残缺不全,E903???4DAB???08???51?80??8A?,请猜出神秘字符串的原本模样,并且提交这个字串的32位MD5码作为答案。 代码 import hashlib k = 'TASC?O3RJMV?WDJKX?ZM' for i in range(26): temp1 = k.r
BUU-crypto-刷题记录30
热门推荐
m0_57291352的博客
07-17 1万+
[INSHack2017]rsa16m 题目 # Challenge description: When you need really secure communications, you use RSA with a 4096 bit key. <br> I want really really really secure communications to transmit the nuclear launch codes (yeah IoT is everywhere man) so
BUUCTF-刷题记录-5
qq_45628145的博客
10-03 849
MISC [GKCTF2020]code obfuscation 把给的二维码缩小一下,截个图,就可以用QR扫出来了,得到一个base(gkctf),同时binwalk分离出来一个存在密码的压缩包,猜测是某种base方法得到的结果为压缩包的密码。 最后尝试出来base58编码后的gkctf即为压缩包的密码,即CfjxaPF。 解压出来一张图片和一段JS代码,JS代码去这个在线网站解密并且整理一下,得到 for n in a b c d e f g h i j k l m n o p q r s t u v
BUU-crypto-刷题记录15
m0_57291352的博客
07-02 6318
[MRCTF2020]天干地支+甲子 题目 得到得字符串用MRCTF{}包裹 一天Eki收到了一封来自Sndav的信,但是他有点迷希望您来解决一下 甲戌 甲寅 甲寅 癸卯 己酉 甲寅 辛丑 解题 由六十甲子顺序表 得到 11 51 51 40 46 51 38 根据提示,在加上一甲子,也就是再加60 得:71 111 111 100 106 111 98 然后十进制转ASCII码得到 Goodjob 答案 flag{Goodjob} [MRCTF2020]vigenere 题目 cipher.txt
POSN:POSN-BUU的源代码
04-01
POSN POSN-BUU的源代码
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
joinUs-buu2018:h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信qq分享
05-02
joinUs-buu2018 h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信/qq分享 #预览地址
Project-Decoder-Ring
03-27
项目解码器环 项目描述:解码器环 该应用程序具有3种不同的解码器。 1.凯撒密码是一种替换密码,其中明文中... 2.... 3.... “单位”可以是单个字母(最常见),成对的字母,字母的三元组,上述的混合形式,等等。... 屏幕截图:
[ACTF2020 新生赛]Include
kuller_Yan的博客
06-06 2061
[ACTF2020 新生赛]Include wp from Kuller_Yan 打开靶机发现一个超链接,点击之后出现一段话 “Can you find out the flag?” 查看源码注入,无果, 抓包,无果 仔细看url,发现有flag.php 判断此题为PHP伪协议题目 构建payload ?file=php://filter/read=convert.base64-encode/resource=flag.php 穿插知识点: php://filter 伪协议 该伪协议读取源代码并进行ba
[极客大挑战 2019]Knife
kuller_Yan的博客
06-02 1306
[极客大挑战 2019]Knife wp from Kuller_Yan 一进来,页面很直接,暗示我们用菜刀(当然我用的蚁剑也是一样的),并且告诉我们密码是Syc。 打开蚁剑,链接shell 查看目录,发现flag,打开就好。
攻防世界进阶区—Cat
kuller_Yan的博客
04-06 1027
抓住那只猫!!!! 题目传送门,点击受害 这题讲道理唯一描述“抓住那只猫”我是完全没有看懂的,而且这题讲道理有一定难度 或不多说先进入题目网址: 将道理,看到表单避免不了的要输入试一试 先输入例子,loil.clud,没有反应 尝试127.0.0.1,出现变化! 欸嘿嘿,似乎有东西,那我们来尝试下系统命令执行规则来输入命令: command1 & command2 :先执行command...
[SUCTF 2019]EasySQL
kuller_Yan的博客
05-18 728
[SUCTF 2019]EasySQL_____ wp from Kuller_Yan 原理:堆叠注入原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句 后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。 而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么? 区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句, 而堆叠注入可以执行的是任意的语句。例如以下这个例子。
[极客大挑战 2019]Upload
kuller_Yan的博客
06-14 683
[极客大挑战 2019]Upload wp from Kuller_Yan 一道很简单的文件上传漏洞: 打开靶机看到很直观的页面让我们上传。随便上传一个一句话木马,发现 看来type必须是图片,那我们构建一个phtml文件 GIF89a <script language="php">eval($_POST['123']);</script> 在上传的时候抓包,更改类型;image/jpeg 然后盲猜url为/upload 访问http://29f56e21-5b5a-4212-
[ACTF2020 新生赛]Exec
kuller_Yan的博客
06-06 637
[ACTF2020 新生赛]Exec wp from Kuller_Yan 打开靶机,输入127.0.0.1尝试提交 发现直接出现,无过滤。 之间尝试管道符执行命令:127.0.0.1;cat /flag 也没啥好说的,什么都没过滤就直接执行命令就好; 常见管道符 1、|(就是按位或),直接执行|后面的语句 2、||(就是逻辑或),如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 3、&(就是按位与),&前面和后面命令都要执行,无论前面真假 4、&&(就是逻辑
[HCTF 2018] WarmUp
kuller_Yan的博客
05-17 534
[HCTF 2018]WarmUp wp-------Kuller_Yan 首先我们访问题目url 可以看到一个图片,查看源码之后可以发现source.php文件 访问source.php可以看到一串代码,便可以确定,php代码审计,查看所给代码,分析出,一开始,给出白名单 然后是一个判断,判断page中是否包含白名单,然后将page截取从0到‘?’ ,再进行一次白名单判断 然后对page进行url加密,再进行白名单判断。 所以构建paylodesource.php?file=source.php%2
[HCTF 2018]admin
kuller_Yan的博客
05-30 470
[HCTF 2018]admin wp from Kuller_Yan 又是一道签到题 打开靶机 发现一个超链接,点击之后也没出现什么东西,就是个自己写的404,然后点击404也跳不出去 查看源代码发现提醒 然后仔细看下网页发现了一个菜单图标 然后点击登录,用万能密码登录,直接拿到flag ...
BugkuCTF-Web- flag在index里 80
kuller_Yan的博客
03-24 429
CTF-【php://filter的利用】 flag在index里 80 题目链接:叮~传送门 解题思路: 首先,我们拿到题目,看到题:flag在index里。这时候便会意识到这是个很重要的提示。 然后我们访问题目网站可以看到如下画面: 叫我点击它,逆反心理作用下,忍住点击他的欲望,看了一眼源代码,啥也没有,就是个普通的超链接。 点击之后出现如下画面: 一脸懵,查看源码,无果,抓包,无果。此时陷入...
buu Quoted-printable
最新发布
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值