[GXYCTF2019]BabyUpload
传呗,先传个php一句话
检测后缀了,大小写也绕不过去
试了下别的后缀也不大行
抓包康康
抓包改后缀和content-type倒是能绕过,但是上传的文件依旧是一个jpg而不会被当作php解析
嘶。。。欸?等等
那还等啥,传它!
直接传也是不行的,抓包改下content-type
之前已经传过马了,连下试试
芜湖!flag在根路径里
拿来吧你!
[BUUCTF 2018]Online Tool
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
这俩函数没见过,百度找找
简而言之就是把字符串转换成参数并且过滤放到
后面执行命令
找到了漏洞解析
搜索得知nmap命令中有一个参数-oG可以实现将命令和结果写到文件
这是什么?这是一句话木马啊!
payload:
如果没有单引号,就只是相当于正常使用这两个函数,这所有的东西会被解析成一个字符串交给nmap
空格是因为如果不加空格,经过两个函数之后就会变成
文件名就变了
因为
所以传参要用双引号
蚁剑连上,拿来吧你
[RoarCTF 2019]Easy Java
WEB-INF/web.xml泄露
参考这位师傅的https://www.cnblogs.com/karsa/p/13130130.html
这样直接访问会报错
所以我们用post方式提交请求
down下来,但是没什么用,那我们也能通过这样的方式访问一下WEB-INF/web.xml
Servlet程序若想被外界访问,必须把Servlet程序映射到一个URL地址上,这个工作在web.xml文件中使用<servlet>元素和<servlet-mapping>元素完成。
如上,最后的<servlet-name>FlagController表示Servlet的注册名称,<servlet-class>com.wm.ctf.FlagController</servlet-class>表示了完整类名,<servlet-mapping>映射了刚刚注册完毕的Servlet,后面的<url-pattern>/Flag</url-pattern>则指定了访问路径
再贴一下这位师傅的图233
根据路径构造payload:
?filename=WEB-INF/classes/com/wm/ctf/FlagController.class
右面的base64解码就好
芜湖~
[BJDCTF2020]The mystery of ip
/flag.php页面发现了ip
/hint.php页面查看源码发现了提示
不会是XFF叭,抓包改下试试
确实,猜测这里可能是SSTI
,XFF改为{
{7*7}}
flag一般都在根目录下,所以将XFF改为{system('cat /flag')}
即可得到flag
[GXYCTF2019]禁止套娃
上githack,查看index.php
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if