- 博客(30)
- 收藏
- 关注
RSS订阅原创 一道简单的SSRF
看到了一道简单的ssrf,由于说有非预期但是忘了这个知识点,所以还是记录一下题目进去后就是一串代码<?phphighlight_file(__FILE__);//find something in flag1.php$d = $_GET['d'];$file = $_GET['ctf'];if (filter_var($d, FILTER_VALIDATE_URL)) { $r = parse_url($d); if (isset($file)) {
2022-05-15 11:35:17
729
原创 网刃杯部分wp
webSign_in复现地址:http://124.222.24.150:8091/题目就几行代码很明显的ssrf,总之看到这几个函数就差不多会想到ssrffile_get_contents()fsockopen()curl_exec()用file协议看看?url=file:///etc/passwd读的出来,那直接看看根目录有没有flag,读不出来,那明显要打内网了。先看看读一下etc/hosts,看到了个内网ip也可以读路由表?url=fil.
2022-05-02 17:11:12
357
原创 2022DASCTF X SU 三月春季挑战赛
webezpop<?phpclass crow{ public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); }}class fin{ public $f1; ..
2022-03-27 23:18:58
973
5
原创 2021 天翼杯easy_eval
打开环境<?phpclass A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; }}class B{ function __destruct(){ echo $this->a->
2021-10-04 15:59:59
2362
原创 EasyCleanup(session文件包含&条件竞争)
打开就是原码<?php if(!isset($_GET['mode'])){ highlight_file(__file__);}else if($_GET['mode'] == "eval"){ $shell = $_GET['shell'] ?? 'phpinfo();'; if(strlen($shell) > 15 | filter($shell) | checkNums($shell)) exit("hacker"); eval($shell
2021-09-23 23:40:52
324
原创 session反序列化
原理啥的我直接放个链接,讲的挺详细的(23条消息) 原理+实践学习(PHP反序列化和Session反序列化)_Lemon's blog-CSDN博客_php session反序列化重点是这:PHP 会自动反序列化session文件的内容,并将之填充到 $_SESSION 超级全局变量中。当没有$_SESSION变量赋值时先上传文件,同时POST一个与session.upload_process.name的同名变量。后端会自动将POST的这个同名变量作为键进行序列化然后存储到ses
2021-09-22 19:19:57
418
原创 pop链复习
直接以一道题目来复习一下pop链吧<?php include 'flag.php';class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova; funct
2021-09-17 15:24:09
252
原创 RCE通配符绕过
RCE的时候除了异或取反等方法,才学了一种新的绕过姿势,就是通配符在这之前可以先看看什么是通配符Linux通配符的使用_Linux教程_Linux公社-Linux系统门户网站 (linuxidc.com)谈谈CTF中常见情况吧,当字母数字或者一些特殊的字符被过滤掉时,不能直接传入,就可以考虑用通配符进行绕过,先看一张图片?代表的是匹配一个字符,这样的话他就会匹配所有成立情况对/home/kali/ex11进行操作,自然也包括了/bin/cat /home/kali/ex11,因为cat等一.
2021-08-27 13:05:23
854
原创 [GYCTF2020]Ezsqli
简单试了试,输入1返回是Nu1L,输入'返回的是bool(false),发现是布尔盲注,先fuzz一下,发现for是被过滤了的,也就是不能用information_schema了,这时我们就不能通过这个库来查出表名和列名。不过我们可以通过两种方法来查出表名:InnoDb引擎从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息
2021-08-25 00:51:49
237
原创 [极客大挑战 2020]Roamphp2-Myblog
打开环境并没有什么发现login那也不可以注册,works也没什么发现。但是可以看到url栏中都传了一个page变量,猜想可能存在文件包含,先试试传一个/etc/passwd,什么都看不到,又想试一试php伪协议,看可不可以看到原码。?page=php://filter/read=convert.base64-encode/resource=login.php也是啥都没有,诶,可以注意到他自己传的东西都没有加php后缀,可能他后端自己补充了,那改一下payload?pa..
2021-08-17 19:44:51
1187
原创 file_get_contents和include学习笔记
首先要了解file_get_contents() 把整个文件读入一个字符串中。该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持,还会使用内存映射技术来增强性能。当文件里的内容存在php的内容的时候,他不会执行php里面的内容,也不会打印在页面上,他会放在f12后的元素中的注释里,像是这样只是打印出了数字的部分在页面上,要查看php的内容需要f12打开看,这里也可以用伪协议去读取...
2021-08-11 00:48:45
1294
原创 [MRCTF2020]套娃
又是一篇php的学习打开环境后什么发现也没有,F12里面发现了提示扒下来后简单审计一下<!--//1st$query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!');} if($_GET['b_u_p_t'] !== '23333' && pre
2021-08-10 23:28:59
446
原创 [HITCON 2017]SSRFme
打开环境后给了一串代码117.136.0.16 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"];
2021-07-26 21:50:24
175
原创 [极客大挑战 2019]RCE ME
简单的代码审计,广泛的绕过姿势~<?phperror_reporting(0);if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long."); ..
2021-07-21 23:53:54
277
1
原创 [MRCTF2020]Ezpop
Welcome to index.php<?php//flag is in flag.php//WTF IS THIS?//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95//And Crack It!class Modifier { protected $var; public.
2021-07-18 22:54:37
249
2
原创 [NPUCTF2020]ReadlezPHP
打开环境后没什么发现,f12看看没有的话准备扫目录,结果看到两个网址,一个是学校的官网,还有一个是这样的。看到反序列化后问题应该就在这了 ,简单的代码审计,是说如果传入了source变量,就结束程序,也可以传入data变量,不过会将他反序列化,在HelloPhp类里面可以把a当做b的执行内容,看到这里不难想到命令执行,试一试,先序列化。因为我们的目的只是把变量a和b的值改变,所以序列化的有效部分也就是_construct()函数。<?phpclass HelloPhp{ ..
2021-07-17 11:37:37
245
原创 md5一些绕过方法
弱比较if($_POST['a']!=$_POST['b']&& md5($_POST['a'])==md5($_POST['b'])){ die("success!");}在这样的弱比较里,0e开头的会被识别成科学计数法,结果均为0,比较时0=0为true绕过payload:a=QNKCDZO&b=s878926199a常用md5加密后为0的字符串:240610708,aabg7XSs,aabC9RqSs878926199a0e215962017...
2021-07-16 16:57:50
2644
原创 php整形的最大溢出
if($array[++$c]=1){ if($array[]=1)因为两个if里面都是赋值语句,只要赋值成功就可以进入,赋值失败则退出。此题既要满足 使$array[++$c]=1赋值成功,又要满足$array[c+1后的再后一位的数组]=1赋值失败,则想到整形溢出(即满足整形最大值加1后会报错):**PHP的32位版本:**- 整数可以从**-2,147,483,648**到**2,147,483,647**(~20亿)**PHP的64位版本:...
2021-07-16 16:56:45
299
原创 关于ip和一些网络的知识
A类网络的IP地址范围为:1.0.0.1-126.255.255.254; B类网络的IP地址范围为:128.1.0.1-191.255.255.254; C类网络的IP地址范围为:192.0.1.1-223.255.255.254 局域网地址范围分三类,以下IP段为内网IP段:**C类:**192.168.0.0 - 192.168.255.255**B类:**172.16.0.0 - 172.31.255.255**A类:**10.0.0.0 - 10.255.255...
2021-07-16 16:54:06
250
原创 [CISCN2019 华东南赛区]Web11
这是一道模板注入的题目。先附上一张图在看题目再读题的时候,应该看到最后一排的smarty,这是一个模板,应该有印象才会想到。既然判断为模板注入,那肯定要知道smarty模板的注入格式以及这道题的注入点在哪,不难看到右上角有一个ip地址显示的是我们的ip的地址,看到ip地址也不难联想到xff,那会不会xff就是这道题的注入点呢?抓包试一下这样一看无疑了,由于大部分题目flag在根目录下,所以这里是直接猜的,当然也可以模糊搜索来找,。得到flag。当然smarty..
2021-07-16 16:23:36
151
原创 [SWPU2019]Web1
好久没做sql的题了,来巩固一下。这里试了一下,无论怎么输入都是显示的登录失败,那注册一个账号看看。登录过后有一个申请发布广告,点进去。这个格式让我想到了xss和sql,xss试了一下的确是存在的,但是应该不是获取cookie登录后台,看一看sql注入会不会要简单点。单输入一个单引号,看广告详情可以,存在sql注入漏洞fuzz一下,information_schema被过滤,or被过滤,空格被过滤,#也被过滤。联合注入空格可以用/**/,order by可以用g...
2021-07-16 14:27:24
85
原创 [0CTF 2016]piapiapia
打开环境看看试一试sql注入,f12都没什么发现 。直接dirsearch扫来看看,(我们在做题扫目录的时候经常会遇见429的情况,这时候就需要调整一下扫描参数,比如dirsearch添加个延时参数,这样就大大提高了扫描效率)扫描出来了有个www.zip。原来是原码泄露。给了几个php先大概浏览一下,发现config.php里面有flag,但是不可读。config.php<?php $config['hostname'] = '127.0.0.1'; $config[
2021-07-13 16:18:47
209
2
原创 arp欺骗实现断网
本篇文章将介绍如何用arp欺骗实现断网的操作首先要明白什么是arp以及什么是arp欺骗。因为局域网内是通过mac地址来识别对方的,而获取对方mac地址的时候可以实现欺骗,导致被攻击者获取的是攻击者的mac地址,误以为攻击者的电脑是他想要发送信息的目标。而这里主要还是用了arpspoof工具,他可以将网关mac替换为攻击者mac(mac就是指网卡地址),然后攻击者可截获受害者发送和收到的数据包,可获取受害者账户、密码等相关敏感信息。具体可以参考(5条消息) ARP原理和ARP攻击_天行健,君子以自强不息-
2021-07-12 12:06:16
1363
原创 [NCTF2019]True XML cookbook
继上次做的FakelXML cookbook,这回也是一道xxe的题,打开环境和上次一模一样,
2021-06-19 13:01:45
103
原创 linux中查看文件命令和空格绕过
由于做了[WUSTCTF2020]朴实无华这道题目,整理一下除了cat还可以用哪些命令打开文件cat由第一行开始显示文件内容tac从最后一行开始显示,可以看出 tac 是 cat 的倒著写!nl 显示的时候,顺道输出行号!more 一页一页的显示文件内容less 与 more 类似,但是比 more 更好的是,他可以往前翻页!head 只看头几行tail 只看尾巴几行...
2021-06-18 10:48:27
2405
原创 [安洵杯 2019]easy_serialize_php
这是一道比较经典的反序列化字符串逃逸的题,在做题之前肯定需要先了解什么是反序列化字符串逃逸。--->(2条消息) 浅析php反序列化字符串逃逸_Lemon's blog-CSDN博客
2021-06-08 16:31:12
200
2
原创 [BJDCTF2020]ZJCTF,不过如此
[BJDCTF2020]ZJCTF,不过如此打开题目 首先是一段源代码:<?phperror_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')...
2021-06-01 19:48:49
231
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人