web刷题
文章平均质量分 76
一些零零散散的题目
Leafzzz__
Leafzzz已下线。
展开
-
[CTFshow 红包挑战] 红包挑战8 Write up
是为了让最后的大括号被注释掉来保证phpinfo()正常执行。我们要做的是让我们创建出来的函数闭合,然后去执行接下来的语句。功能:根据传递的参数创建匿名函数,并为其返回唯一名称。让他的语句闭合并执行我们的命令,然后再传入。如果以$限制结尾字符,则不允许结尾有换行。但是这里注意一点,我们不仅要闭合。,我们发现是执行了后面的。也可以暂时先不看,先处理。已经给出,我们需要是传入。(这个随便传都可以好像)就是创建一个函数,这里。我们把payload中。会创建一个匿名函数(的作用是绕过正则匹配。原创 2023-08-14 03:36:05 · 157 阅读 · 0 评论 -
[CTFshow 红包挑战] 红包挑战7 Write up
extract() 函数从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。第二个参数type用于指定当某个变量已经存在,而数组中又有同名元素时,extract() 函数如何对待这样的冲突。该函数返回成功导入到符号表中的变量数目。简单来说就是他可以接受我们的。原创 2023-08-14 01:43:44 · 274 阅读 · 0 评论 -
[GKCTF 2021]easycms Writeup ——蝉知7.7
由于是个CVE,就自己找了找还有没有别的打法,跟着别的师傅的打法又打了一遍。是一个静态网页,点啥都没有用(除了友链),用dirsearch扫一下。一开始想通过文件上传来打的,但是一直上传失败,只能换一种方法。点击保存后,会给我们下载一个文件,将该文件的下载链接复制下来。最后那个txt名称为之前修改模板提示的文件,剩下的随便输。是经过base64加密后的密文,将他解码得到。然后去设置中的微信设置,随便写点东西然后保存。下载后是个压缩包,将文件扩展名改成。,将theme后面的内容改成将。,OK,寄了,打不了。原创 2023-07-07 11:44:32 · 316 阅读 · 1 评论 -
[CISCN 2019华东南]Web11 和[NISACTF 2022]midlevel
Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。了解过Jinjia2模板注入的同学应该知道,jinjia2是基于python的,而Smarty是基于PHP的,所以理解起来还是很容易,我们只需要达到命令执行就可以了。原创 2023-04-27 00:22:18 · 285 阅读 · 0 评论 -
[第五空间 2021]yet_another_mysql_injection wp
在这个语句中,攻击者使用了 HEX 编码来表示 LIKE 运算符右侧的字符串,这个字符串实际上是 “unique_detect” 的 HEX 编码。由于白名单只允许使用特定的字符或字符串,而不允许使用特定的运算符或操作,因此攻击者可以使用这种方法来绕过白名单的限制,从而执行恶意的操作。白名单是一种更安全的防御措施,它会检查用户输入中是否包含一些特定的字符或字符串,并只允许这些字符或字符串被用于查询。都没有被过滤,可以编写脚本爆破密码 ,我这里直接找了一个师傅的脚本。直接访问,弱口令试一试就过了,账号。原创 2023-07-07 17:12:13 · 335 阅读 · 0 评论 -
[天翼杯 2021]esay_eval——Redis(主从复制)提权初见
但是,当编辑操作意外终止时,这个备份文件就会保留,如果多次编辑文件都意外退出,备份文件并不会覆盖,而是以 swp、swo、swn 等其他格式,依次备份。在开发人员使用 vim 编辑器 编辑文本时,系统会自动生成一个备份文件,当编辑完成后,保存时,原文件会更新,备份文件会被自动删除。文件是一个 Redis 模块,它提供了一些命令和功能,可以让攻击者在 Redis 服务器中执行任意代码,从而获得服务器的控制权。顺理成章的,B类中的__destruct()方法明显访问了调用对象中不存在的方法,所以上一级便是他。原创 2023-04-18 19:59:50 · 576 阅读 · 2 评论 -
[春秋杯2023]Misc sudo(记CVE-2023-22809)
sudo使用用户提供的环境变量让用户选择他们所选择的编辑器。的内容其中一个变量扩展了传递给函数的实际命令。然而,后者依赖于--参数的存在来确定要编辑的文件列表。注入在一个已授权的环境变量中使用额外的--参数可以更改此列表并导致特权通过编辑具有RunAs用户权限的任何其他文件来升级。这个问题发生在sudoers之后。原创 2023-05-20 16:20:01 · 260 阅读 · 0 评论 -
[强网杯 2019]随便注 wp
这里想先用union联合注入来获取当前database,但是被过滤了,由这个preg_match正则匹配可以看出这道题是堆叠注入。那么 我们是不是可以通过修改带flag字段的表的名字为words表 然后把flag 字段修改为id。发现没结果了, 原因是新的id列中的值已经变为flag值了 所以查询inject=1查不到。sql注入老传统,上来先判断注入点,这题是字符型注入。修改新的words表中的flag列名为id。判断能出来什么东西,好样的,啥用没有。前面一样,先查出所有表,然后使用。原创 2023-04-12 00:09:32 · 166 阅读 · 0 评论 -
[NISACTF 2022]babyupload wp
由此,当上传的文件名为 /flag ,上传后通过uuid访问文件后,查询到的文件名是 /flag ,那么进行路径拼接时,uploads/ 将被删除,读取到的就是根目录下的 flag 文件。然而,这个函数有一个少有人知的特性,如果拼接的某个路径以 / 开头,那么包括基础路径在内的所有前缀路径都将被删除,该路径将视为绝对路径。由于绝对路径拼接漏洞,直接将根目录中flag文件的内容输出到了/file下的uuid文件,我们直接访问就行。拼接意味着只能读取上传后的文件,而且上传的文件没有后缀名,不能直接利用,但。原创 2023-04-12 22:52:37 · 447 阅读 · 0 评论 -
[HCTF 2018]Warmup 详细wp
例如 include_path 是 .,当前⼯作⽬录是 /www/,脚本中要 include ⼀个 include/a.php 并且在该⽂件中有⼀句 include “b.php”,则寻找 b.php 的顺序先是 /www/,然后是 /www/include/。最终的效果就是,将$page字符串中的URL路径部分提取出来,用于后续的处理和判断。即,当include后的文件找不到且有路径时,会沿此路径一直找,直到找到文件 即,当include后的文件找不到且有路径时,会沿此路径一直找,直到找到文件。原创 2023-04-23 14:26:13 · 251 阅读 · 0 评论 -
[SWPUCTF 2021 新生赛]finalrce wp
PHP为了防止正则表达式的拒绝服务攻击(reDOS),给pcre设定了一个回溯次数上限pcre.backtrack_limit默认1000000,超过1000000不会返回1或0而是false即超过限制即可。原创 2023-04-12 01:10:22 · 453 阅读 · 0 评论 -
[NISACTF 2022]level-up wp
好题!上来显示nothing here但是通过查看源码可以知道有Disallow指令,说明有robots.txt文件,直接访问Disallow指令例如,如果一个网站有一个包含私人信息的目录,如 /private,但不希望搜索引擎抓取这个目录下的内容,就可以在 robots.txt 文件中使用 Disallow 指令来限制访问,如下所示:找到了level2,直接访问,然后开始代码审计这里一开始想用数组绕过,但是返回????说明在弱比较的时候就寄了,没办法,只能用md5强碰撞,构造payload(这里用h原创 2023-04-12 18:31:32 · 597 阅读 · 1 评论 -
[ZJCTF 2019]NiZhuanSiWei wp
要通过get传入text,file,password参数,file_get_contents的作用是将整个文件读入进一个字符串,这里的text要是字符串,并且还要与welcome to the zjctf相等。反序列化,并且包含了flag.php文件,我们这里要利用file_get_contents函数将flag.php中的内容显示出来,所以我们要将该js进行反序列化。当指定了一个相对路径(不以/、、\或 Windows 盘符开头的路径)提供的路径将基于当前的工作目录。这题是很好的文件包含类型的入门题。原创 2023-04-12 00:52:28 · 100 阅读 · 0 评论 -
[WUSTCTF 2020]朴实无华 wp
单引号传值的时候,它只识别字母前面的一部分,当我们进行get传参时,我们其实就是默认加单引号的,这里不是必须是e,这里只要是字母就可以。上来看不到什么东西,burp抓包也抓不到,dirsearch扫一下,扫到了`robots.txt。◦ 如果字符串包括了 “0x” (或 “0X”) 的前缀,使用 16 进制 (hex);函数,让我们传入一个数字,并且小于2020,但是+1大于2021。但是你如果抓个包,那么结果又不一样了,可以看到hint。这种类型的弱比较,数组是绕过不了的,这里用。原创 2023-07-08 13:29:32 · 122 阅读 · 0 评论 -
[NISACTF 2022]bingdundun wp
这里大部分人可能会报错,这个错误信息表示在运行phar.php文件时,创建归档文件“exp.phar”的功能被禁用了。由于我一直报错,不能生成文件,改了也没有用,所以找到了第二种解决办法,在php文件的目录下打开cmd,然后命令行输入。(但是不知道为什么我的phpinfo信息不能显示,于是重新上传了一个,变量名改了一下,改成了8,就可以了)可以看到example.phar压缩文件中有phar.php文件,里面有一个php代码,内容是一句话木马。连接成功,在根目录中的flag文件找到了flag,结束。原创 2023-04-14 14:27:11 · 374 阅读 · 0 评论 -
[NISACTF 2022]easyssrf wp(SSRF入门)
curl_init(url)函数初始化一个新的会话,返回一个cURL句柄,供curl_setopt(),curl_exec()和curl_close() 函数使用。上述测试代码中,file_get_contents() 函数将整个文件或一个url所指向的文件读入一个字符串中,并展示给用户,我们构造类似。函数,应该是防止通过file变量进行file协议读取,所以将file命令过滤掉,无所谓,我们可以直接利用file变量来进行读取文件。我们通常要利用filex协议来进行文件读取,下面是file的最简单的用法。原创 2023-04-11 00:00:47 · 1223 阅读 · 1 评论 -
[鹤城杯 2021]EasyP wp(代码审计)
变为_,所以在构造payload的时候我们可以将show_source变为show[source。正则匹配,我们不能直接输入show_source=‘’,但是由于php的特性,会将遇到的第一个。$_SERVER[‘SCRIPT_URI’] //返回当前⻚面的 URI。$_SERVER[‘PHP_SELF’] //返回当前执行脚本的文件名。被狠狠地坑了一把,这题的secret变量是个坑,受不了了。这题正确的的解题方法是:我们需要绕过正则。再介绍一个basename()该变量存在,但是由于。原创 2023-04-11 00:17:41 · 270 阅读 · 1 评论