- 博客(28)
- 收藏
- 关注
RSS订阅原创 BUUCTF-ZJCTF,不过如此
打开题目,代码审计的题,审计一下代码,我们提交text函数,并且打开后的内容要与I have a dream一致,才能执行file函数看到有一个next.php,自然想到用php伪协议读取他payload:index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php解码审计一下<?php$id = $_GET['id'..
2021-11-29 11:11:13
2491
原创 攻防世界-ics-07
之前遇到过类似的题,考的sql注入,不过这个考的文件上传打开题目,还是一个工控系统,继续按流程走,瞎点看看哪个能点开,最后只有项目管理才能点开.看到有个view-source,点进去看一看,有三段代码,我们来分析分析。提交page参数,不能包含index.php,只能包含flag.php提交con和file参数,更改backup路径为uploaded,if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i',$filename))还对这些字符进行了..
2021-11-21 20:47:24
2147
原创 攻防世界-FlatScience
打开题目,左右看了看,就是一些文章,试了下robots.txt,看到两个php挨个访问,发现admin.php和login.ogo都是一个登陆页面,不过admin.php有一个默认的admin账号,猜测应该是获取到密码拿到flag,我们看看login.php里面有什么在login.php页面里,我习惯性的先看一下源码,发现了一个?debug提交过后,返回了一段源码,这里我们看到数据库是SQLite3,不是MySQL,在sqlite数据库有一张sqlite_master表,..
2021-11-20 08:12:17
917
原创 攻防世界-lottery
打开题目,看了半天,貌似就是一个猜号的平台钱够了就可以购买flag了下载题目提供的附件,打开时源码,看了看之后,发现唯一有用的一句这里看到是个弱比较,我们可以返回通过提交true(非零的数)来进行提交通过提交true,成功通过,攒够钱后直接购买flag即可...
2021-11-19 19:57:07
282
原创 攻防世界-favorite_number
打开题目,看到一些php的代码,我们来审计一下第一个if($stuff===$array&&$stuff[0]!='admin') //强等于,并且首元素不等于admin(preg_match("/^\d+$/im",$num) //必须是纯数字,并且前面的/是开启了多行匹配,加上^和$,匹配开头和结尾,合起来就是匹配每行的开头和结尾(!preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*...
2021-11-19 19:28:04
2823
原创 攻防世界-Cat
打开题目,是一个查询域名的输入框。输入了www.baidu.com没有反应,输入127.0.0.1发现执行成功,进行命令拼接,提示了错误url,应该是被过滤掉了,用字典测试一下,发现只有@没有被过滤,考虑到输入的字符都会被url编码后传入,我们试一下宽字节%df发现报错,我们保存为html查看一下从这里可以知道后端含有Django框架,我们也知道没有过滤掉@,并且当 curlopt_safe_upload 为 true 时,所以在请求前面加上@的话phpcurl组件...
2021-11-19 15:18:28
1790
原创 攻防世界-fakebook
打开题目,就一个登陆页面,来回看了看也没啥注册了个账号,进去之后,查看了下源代码,发现了一个view.php?no=1应该是存在注入点,view.php?no=1 and 1=1# 正常view.php?no=1 and 1=2# 报错 则存在注入点view.php?no= union/**/select 1,2,3,4# //由于过滤了很多,只能用/**/绕过只有2有回显,我们进行利用view.php?no=2 union/**/select 1,datab...
2021-11-17 21:25:04
220
2
原创 BUUCTF-我有一个数据库
打开题目,貌似啥都没有只有几个乱码,扫了下后台发现了phpmyadmin利用相关的漏洞target=db_datadict.php%253f/../../../../../../../../flag经过二次解码target=db_datadict.php%253f/../../../../../../../../flag拿到flag...
2021-11-16 21:06:11
572
原创 BUUCTF-禁止套娃
打开题目,单纯一个flag在哪,源码啥都没有我上一篇文章里放的链接,这一题也能用到,.git源码泄露,用GitHack.pyctf/web源码泄露及利用办法【总结中】_Sp4rkW的博客-CSDN博客_web源码泄露<?phpinclude "flag.php";echo "flag在哪里呢?<br>";if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar
2021-11-11 20:59:49
472
原创 BUUCTF-Easy Java
新知识点:WEB-INF/web.xml泄露】打开题目一个登录框,万能密码貌似也登不进去,点开help看到了Download?filename=help.docx,估摸着应该是个文件包含的题。ctf/web源码泄露及利用办法【总结中】_Sp4rkW的博客-CSDN博客_web源码泄露 附上一个链接burp抓包进行查询看到flag了,我们进行查看看到一串Base64,我们进行解码拿到flag...
2021-11-11 15:23:36
320
原创 BUUCTF-Online Tool
这道题真的挺不常见的,考的点也有点不常见打开题目一段代码这里就有两个不常见的函数escapeshellarg()和escapeshellcmd(),PHP escapeshellarg()+escapeshellcmd() 之殇 给大家放个链接来理解大概来说就是这两个函数对我们传入的数值进行单引号转义,会加上/符号,那这时候就只能往后看看能不能利用namp做点文章。在nmap中有一个参数-oG,就是将命令和结果都写入到文件,到这里我们就可以想到上传一句话,然后写入到php文件里
2021-11-10 21:19:02
691
原创 BUUCTF-Blacklist
前言:这道题我之前的文章攻防世界-supersqli是一道一样的,只不过这题是个进阶版,还有get了一个新的注入方式。首先打开题目,看到查询框我们进行注入禁用了很多东西啊,但貌似show没有禁用,可以查询一下数据库还有表这里看到flaghere,但rename被禁用掉了,所以不能通过更改表名来进行查询,这里就要用一个其他得到注入方法1';handler FlagHere open; //打开FlagHere文件handler FlagHere read first;
2021-11-10 18:10:14
685
原创 BUUCTF-BabySQli
打开题目发现一个登录框,蛮简陋的各种方法都试过了,就是进不去,难道我太菜了???,看了眼源码,发现了search.php,打开之后是错误用户名的页面,随手看了眼源码,发现了一串base32Base32:由大写字母与数字组成Base64:由大小写字母与数字组成解密后得到我们尝试闭合掉username来利用order by进行查询,不过order by貌似被过滤了,尝试大写绕过查询到第四个字段发现报错,则只有三个字段,利用联合查询知识点:在联合查询并不存在的数
2021-11-10 10:00:57
178
原创 BUUCTF-Ez_bypass
打开题目,很杂乱,我们右键查看一下源码I put something in F12 for youinclude 'flag.php';$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5($gg) && $
2021-11-10 08:35:14
586
原创 BUUCTF-CheckIn
打开题目,貌似是一道考上传的题目上传php文件被过滤,我们就上传图片马,我们用.htaccess来进行解析,尝试过后貌似行不通,这里使用.user.ini.user.ini:在php.ini中的配置项中有两个配置项,一个是auto_append_file和auto_prepend_file,auto_prrpend_file意思是指定一个文件,自动包含在要执行的文件前,类似与在文件前调用了require()函数。而auto_append_file相似,只是在文件后面进行包含,使用方法很简
2021-11-09 09:21:55
783
原创 BUUCTF-NiZhuanSiWei
打开题目第一个if是让我们提交text值,text不为空,并且file_open_concents的返回值为'welcometothezjctf',但这text是个变量,这里就需要用到php://input协议,以POST方式提交'welcometothezjctf'。第二个if是过滤了flag,如果检测flag,则返回"Not now",这里还发现了一个文件包含。先将useless.php拖拽下来。?text=php://input&file=php://fil...
2021-11-08 20:02:38
1097
原创 [极客大挑战 2019]PHP
打开题目,一只猫,我们控制一个线球,提示备份,我们用/www.zip下载源码看了眼flag.php,没啥用,看看其他两个,index.php。划重点 ,貌似是个文件包含的题class.php大概的意思就是如果username=admin,password=100则会输出flag,但_wakeup函数会将username修改为guest,这就需要我们进行绕过了,方法就是当成员属性数目大于实际数目时可绕过wakeup函数name后面的2改成3,即绕过wakeup.
2021-11-08 15:17:23
1655
原创 [RoarCTF 2019]Easy Calc
打开题目一个单纯的计算框,啥都没有,我们查看一下源码看到了calc.php,访问一下过滤了很多东西,试试phpinfo能不能执行貌似行不通,到这里思路断掉,瞟了一眼别人的wp,是在num前面加空格,这样waf识别的是 num,而不是num,就可以执行后面的语句了。看到disable_functions之后,发现scandir()可以使用,但过滤了很多符号,用chr函数。这里用chr(47)表示显示根目录,没有回显,因为返回的形式,php不能直接输出要用prin
2021-11-08 13:52:03
1581
原创 BUUCTF-Ping Ping Ping
打开题目,emm我们试试用get方式提交一下用url/?id=127.0.0.1;ls查看一波flag,url/?id=127.0.0.1;cat flag.php???貌似过滤掉了,那我们看看index.php好像是把空格过滤掉了,这里我用了很多方法进行绕过,发现只有第四种可以绕过1、<>2、%20(space)3、%09(tab)4、$IFS$9、 ${IFS}、$IFS这里好像也把flag给过滤了,我们去看看index.p..
2021-11-07 20:57:14
110
原创 BUUCTF-Secret File
打开题目,一片黑,也没有能点的东西右击查看一下源码,看到Archive_room.php,访问一下右击看一下源码,发现action.php,访问过后即可跳转到end.php,根据提示,我们利用burp截取数据查看,发现secr3t.php,访问一下访问flag.php毫无收获,猜测可能是文件包含漏洞,flag在flag.php,构造payload拿到base64源码,到解密网站解一下,拿到flag.本节完,欢迎私信交流学习...
2021-11-04 21:21:01
97
原创 BUUCTF-Havefun
打开题目,是一只猫,貌似整个页面都没有可以点的东西,右击查看源码看一看,在页面的最底部发现几行php代码意思就是如果以GET的方式输出cat,则会输出cat,若输出cat=dog,则会输出Syc{cat_cat_cat_cat}。Syc{cat_cat_cat_cat}很像flag,但提交错误,试了一下cat=doghttp://8acbfb85-b79d-4b77-9b14-048b79d40884.node4.buuoj.cn:81/?cat=dog拿到flag.
2021-11-04 21:12:30
216
原创 BUUCTF-EasySQL
这是一道蛮基础的sql注入的题,打开题目一个具有黑客色彩的登陆页面,emm,没有注册窗口,在用户名或密码处加个单引号发现报错。判断是字符型注入,通过万能密码登陆注入进去,username=admin' or 1=1 --+&password='拿到flag...
2021-11-04 19:55:54
593
原创 攻防世界-ics-05
打开题目,是一个工控云管理系统,胡乱瞎点一点,发现只有设备维护中心可以点进去右键查看源代码发现有文件包含函数?page=index,利用php://filter(一般用来读取源码,不过要先经过base64加密,然后再进行解密)payload如下index.php?page=php://filter/read=convert.base-encode/resource=index.php拿到源码,发现需要伪造X-Forwarded-For,利用burp伪造。出现Welc...
2021-11-03 21:25:34
82
原创 攻防世界-shrine wp
首先打开场景右击查看源代码import flaskimport osapp = flask.Flask(__name__)app.config['FLAG'] = os.environ.pop('FLAG')@app.route('/')def index(): return open(__file__).read()@app.route('/shrine/<path:shrine>')def shrine(shrine): d...
2021-11-03 19:11:44
171
原创 攻防世界-easytornado wp
打开后发现有三个文件依次点开发现flag在fllllllllllllag里面,访问fllllllllllllag。发现报错看到hints.txt发现MD5(cookie_secret+md5(filename))得出fllllllllllllag=MD5(cookie_secret+md5(/fllllllllllllag))也就是我们计算出MD5值就可以拿到flag,问题来了,如何知道cookie_secret值是多少,百度了一下发现报错页面存在着SSTI模板注入(知...
2021-11-02 16:17:18
86
原创 攻防世界-supersqli
根据题目提示,输入1‘没有回显,输入1’#正常回显查字段,只有2个select发现被过滤,尝试堆叠注入。发现有两个表,分别查看 (查看字符串要加反引号)1';show columns from `1919810931114514`--+1';show columns from `words`--+发现flag存放在1919810931114514里面由于上面的探测得出搜索框里查询的是words表里的结果,so我们将表1919810931114514改为wo...
2021-11-01 16:22:32
101
原创 W13scan与Crawlergo爬虫结合
前言:发现一个爬虫器Crawlergo,试了试能不能与Xray和Wbscan使用准备工作:系统:Windows工具:Wbscan、Crawlargo、Xray、Chromium(google开发的开源浏览器)W13scan 是基于Python3的一款开源的Web漏洞发现工具,它支持主动扫描模式和被动扫描模式,能运行在Windows、Linux、Mac上。 PS:https://github.com/w-digital-scanner/w13scan 在W13scan根目录cmd..
2021-10-26 21:22:32
561
原创 B站1024程序员节 CTF部分wp Web1
1024程序员节,大家一起和2233参与解密游戏吧~happy_1024_2233:e9ca6f21583a1533d3ff4fd47ddc463c6a1c7d2cf084d3640408abca7deabb96a58f50471171b60e02b1a8dbd32db156AES解密,Key为happy_1024_2233在线解密网站:http://tool.chacuo.net/cryptaes...
2021-10-25 14:38:36
542
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人