题目wp
-眼里有星河-
这个作者很懒,什么都没留下…
展开
-
[BJDCTF2020]EasySearch
先扫描目录,发现.swp备份文件源码泄露(以后题目查询的文件又增加了一个)http://8cfe7f8c-22b7-43e1-8b5c-a71c5c0858d8.node4.buuoj.cn:81/index.php.swp然后得到源码<?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&..原创 2022-04-24 18:26:57 · 701 阅读 · 0 评论 -
[BJDCTF2020]ZJCTF,不过如此
这个题目是源码<?phperror_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if原创 2022-04-24 15:17:26 · 1846 阅读 · 0 评论 -
[HCTF 2018]admin
打开这里点击下拉框出现登录和注册我们先注册一个,发现注册admin的时候提醒admin已经注册过了那就随便注册一个test然后登陆成功发现多了好几个功能但是查看源代码发现<!-- you are not admin -->在change password页面查看源码发现源码<!-- https://github.com/woadsl1234/hctf_flask/ -->下载下来发现有很多文件(但是没学过都不会)根据名字已经“你不.原创 2022-04-22 21:51:55 · 499 阅读 · 0 评论 -
[ACTF2020 新生赛]Include
打开有个链接tips,再点进去发现一句话Can you find out the flag?而且后面传入一个参数是file=flag.phphttp://39f0e8ed-769a-4b4b-84d3-52367874da03.node4.buuoj.cn:81/?file=flag.php而且题目名字是include,所以这肯定是一个文件包含漏洞的题接下来我们学习一下伪协议php:// 访问各个输入/输出流(I/O streams),在CTF中经常使用的是php://filt原创 2022-04-22 17:25:10 · 2976 阅读 · 0 评论 -
[GYCTF2020]Blacklist
刚开始是这样既然有个1那就先输入1查询一下吧返回了一个数组再加一个单引号,出现报错,说明存在SQL注入看这个题第一想法就是堆叠注入为了防止输入1时的干涉,我们输入0(单纯输入0是不会出现任何回应的)0';show databases;#然后得到数据库的名字,很明显flag应该在ctftraining里然后查询表格0';show tables;#FlagHere提示的已经很明显,我们来查询这个表格列名0';show columns fr..原创 2022-04-19 14:23:46 · 3779 阅读 · 4 评论 -
[BJDCTF2020]The mystery of ip
打开题目发现有三个页面首页hintflag,点击出现自己的ip题目既然是“ip的秘密”,可能存在X-Forwarded-For注入什么是X-Forwarded-ForX-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入RFC 723.原创 2022-04-17 11:52:12 · 461 阅读 · 0 评论 -
[BUUCTF 2018]Online Tool
打开是源码<?phpif (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];}if(!isset($_GET['host'])) { highlight_file(__FILE__);} else { $host = $_GET['host']; //escapeshellarg — 把字符串转码为原创 2022-04-15 16:37:14 · 387 阅读 · 0 评论 -
[b01lers2020]Life on Mars
打开是个火星生物的网站点旁边的一些链接也并没有什么思路不过抓包查看看到几个GET传递的参数,猜测这就是注入的点而我们抓其他几个链接,也是基本相同的参数,并且删除后两个参数是没有影响的,所以可以锁定注入点为search但是我直接用bp来注入是不管用的,所以我们用hackerbar来传参先进入网页http://c502b4f4-55bd-4e8e-8721-d3c8c6119c16.node4.buuoj.cn:81/query?search=amazonis_plani.原创 2022-04-14 17:36:51 · 1501 阅读 · 0 评论 -
[SUCTF 2019]CheckIn
这道题是文件上传的题,先上传了一个PHP文件提示不合法的后缀然后上传了一个.htaccess文件,提示exif_imagetype:not image!exif_imagetype() 读取一个图像的第一个字节并检查其签名,返回内容有16个,根据返回的值,来判断我们图片类型是什么所以我们可以用GIF89a来绕过这个函数的检查另外还要了解一个东西.user.ini,可以参考.user.ini文件构成的PHP后门 - phith0n.user.ini实际上就是一个可以由用户“自原创 2022-04-13 21:24:47 · 1774 阅读 · 0 评论 -
[CISCN2019 华北赛区 Day2 Web1]Hack World
这个题呢,上来就把表名和列名都告诉了,就差查询了发现输入1 Hello, glzjin wants a girlfriend.输入2 Do you want to be my girlfriend?而输入0Error Occured When Fetch Result.这就让我们想到布尔盲注,不过要使用if函数来判断是否符合先查询长度,因为空格被过滤了,所以必须用括号代替了import requestsurl = "http://64b562ce-66ec原创 2022-04-12 17:56:50 · 1031 阅读 · 0 评论 -
[GXYCTF2019]BabySQli
这题也是够简陋的了先随便输入一个账号密码,然后显示wrong user当账号为admin时,显示wrong pass查看源码发现一串字符MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5先base32编码再base64编码可以得到select * from user where username = '$name'在UserName中原创 2022-04-12 14:28:57 · 1149 阅读 · 0 评论 -
[SUCTF 2019]EasySQL
这题打开就是一个输入并说能帮我判断输入的flag的对错然后想到[强网杯 2019]随便注跟这个题长得很像,是使用的堆叠注入那么就试一下堆叠注入1;show tables;Array ( [0] => 1 ) Array ( [0] => Flag ) 可是输入1;show columns from Flag查询表格内容的时候竟然出现Nonono.那就索性fuzz查一下都哪些词被过滤了import requestsurl = "http://0f2d22cb-56bf-4原创 2022-04-11 19:30:26 · 2688 阅读 · 6 评论 -
[安洵杯 2019]easy_serialize_php
打开后又是源码 <?php$function = @$_GET['f'];function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img);}if($_SESSION){ unset($_SESS原创 2022-04-10 16:41:22 · 564 阅读 · 0 评论 -
[网鼎杯 2020 朱雀组]phpweb
打开之后查看源码发现一个隐藏的表格,是post传参而且默认传入参数为func=date&p=Y-m-d+h%3Ai%3As+a经查询,date()是PHP的一个函数,而p则是func的参数date(string $format, int $timestamp = ?): string返回将整数 timestamp 按照给定的格式字串而产生的字符串。如果没有给出时间戳则使用本地当前时间。换句话说,timestamp 是可选的,默认值为time()注意这里真的是使用了这个函数原创 2022-04-10 11:45:05 · 904 阅读 · 0 评论 -
[网鼎杯 2020 青龙组]AreUSerialz
打开是源码,感觉一般这种都比较难,先简单分析了一下源码 <?phpinclude("flag.php"); // 包含flag.phphighlight_file(__FILE__);class FileHandler { // 三个成员变量 protected $op; protected $filename; protected $content; // 构造函数 function __construct() {原创 2022-04-08 20:57:32 · 504 阅读 · 0 评论 -
[网鼎杯 2018]Fakebook
打开后有注册的地方我们就先注册一个这是注册成功的页面发现adimin点击后出现新的页面,主要关注这里传入一个参数no传入单引号报错,说明存在SQL注入?no=1 and 1=1 // 没有变化?no=1 and 1=2 // 出现报错所以得知是数字型注入继续查看表格列数,发现是四列?no=1 order by 1#?no=1 order by 2#?no=1 order by 3#?no=1 order by 4#?no=1 order by 5# ..原创 2022-04-08 19:29:39 · 1600 阅读 · 0 评论 -
[ZJCTF 2019]NiZhuanSiWei
打开题目 <?php $text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1><原创 2022-04-06 21:21:06 · 1000 阅读 · 0 评论 -
[MRCTF2020]Ez_bypass
打开发现一段源码发现有个md5强比较,用数组绕过http://a78e7b71-de88-448e-885d-885c370d17d1.node4.buuoj.cn:81/?id[]=a&gg[]=b还有一个POST传递的passwd的弱比较,只需在数字后加一个字母即可用hackerbar传递得到flag...原创 2022-03-19 22:19:27 · 335 阅读 · 0 评论 -
[极客大挑战 2019]BuyFlag
打开并查看源代码发现有一个pay.php再打开查看源代码发现提示并且页面显示:发现cookie处有一个user=0,改成1试试发现确实显示可以但是后面显示`Please input your password!!`我们继续传password,既然是==,那么传404a即可绕过数字判断既然让我们付费,那么猜测是money=100000000却说我们数字太长,那就用科学计数法password=404a&money=1e10得到flag原创 2022-03-19 22:04:00 · 323 阅读 · 0 评论 -
[ACTF2020 新生赛]BackupFile
打开dir扫描发现index.php.bak文件进入后自动下载,打开查看源代码<?phpinclude_once "flag.php";if(isset($_GET['key'])) { $key = $_GET['key']; if(!is_numeric($key)) { exit("Just num!"); } $key = intval($key); $str = "123ffwsfwefwf24r2f32ir23原创 2022-03-19 21:42:49 · 2873 阅读 · 0 评论 -
[BJDCTF2020]Easy MD5
打开是一个输入框可是不管输入什么都没有反应在响应头处发现提示查询了一下md5(string,raw)参数 描述 string 必需。规定要计算的字符串。 raw 可选。规定十六进制或二进制输出格式: TRUE - 原始 16 字符二进制格式 FALSE - 默认。32 字符十六进制数 具体可看:PHP md5() 函数看wp应该输入`ffifdyop`,但是这里还不懂(留下问题,以后研究)查看源代码...原创 2022-03-19 21:32:50 · 3417 阅读 · 0 评论 -
[安洵杯 2019]easy_web
看网址发现一串base64字符那就把后面的一串base64解码解码网站:Base64 在线编码解码 | Base64 加密解密 - Base64.us两次解码结果是`3535352e706e67`然后再十六进制转字符转换网站:16进制转换,16进制转换文本字符串,在线16进制转换 | 在线工具结果是`555.png`访问555.png发现正是左上角这张图片反推index.php结果是`TmprMlpUWTBOalUzT0RKbE56QTJPRGN3`再次查看in...原创 2022-03-19 22:33:14 · 3086 阅读 · 0 评论 -
[极客大挑战 2019]PHP
建议先看一下这篇文章,了解一下序列化与反序列化,然后再写题https://www.jb51.net/article/188446.htm https://www.jb51.net/article/188446.htm打开是一个小猫[点击并拖拽以移动]看到提示是备份网站,拿扫描工具(我用的是Kali的dirsearch)找一找,发现一个www.zip文件(其实我发现了很多文件,看wp都是www.zip但我不明白那么多为什么就看这个)查看文件[点击并拖拽以移动] 自动下载了压缩包原创 2022-03-13 16:20:13 · 533 阅读 · 0 评论 -
[RoarCTF 2019]Easy Calc
打开是一个计算器输入会出现结果。看名字有clac,我还查了一下calc函数calc() 函数用于动态计算长度值。需要注意的是,运算符前后都需要保留一个空格,例如:width: calc(100% - 10px); 任何长度值都可以使用calc()函数进行计算; calc()函数支持 "+", "-", "*", "/" 运算; calc()函数使用标准的数学运算优先级规则;不过对写题没什么帮助,就当课外知识吧查看源码发现提示WAF是什么呢,查阅资料:W原创 2022-03-12 12:32:04 · 560 阅读 · 0 评论 -
[极客大挑战 2019]Http
打开[点击并拖拽以移动][点击并拖拽以移动] [点击并拖拽以移动]后来抓包发现有一个可疑的PHP文件[点击并拖拽以移动] 进入文件查看一下[点击并拖拽以移动]所以要修改请求头Referer: https://Sycsecret.buuoj.cn抓包添加这一行,添加在哪里都可以,结果又提示浏览器不对[点击并拖拽以移动]再修改一下User-Agent:Syclover[点击并拖拽以移动]显示必须在本地浏览,所以需要再添加一行X-Forwarded-For:1原创 2022-03-11 18:53:36 · 1396 阅读 · 0 评论 -
[GXYCTF2019]Ping Ping Ping
打开题目,发现写了一个/?ip=,得知是get注入,先看一下结构http://fe00e7a0-c7c0-4286-ab12-c80e5b562507.node4.buuoj.cn:81/?ip=127.0.0.1|ls那flag一定在flag.php中,查看flag.php,哈哈看来这样不行,过滤了空格空格绕过的思路$IFS${IFS}$IFS$1 //1改成其他数字都行<<>{cat,flag.php}%20%09一个一个试原创 2022-03-06 16:49:10 · 1704 阅读 · 0 评论 -
[极客大挑战 2019]Secret File
打开题目查看网页源代码,发现一个PHP文件进入这个文件点击SECRET看来需要抓包看看,发现一个 response里有提示进入这个php文件中,发现flag在flag.php中打开之后还是没有看见flag,查看源代码也没有本以为还要再抓包一次,结果并没有发现flag,不过前面的步骤一定是对的想到文件包含应该也可以,但是也没有flag原来是传入的file会进行一些过滤,不过这个题没有过滤filter构造payload?file=ph...原创 2022-03-06 15:48:07 · 7186 阅读 · 0 评论 -
[ACTF2020 新生赛]Exec
打开题目发现有一个大大的PING所以这个题肯定是和ping有关的啦构造payload127.0.0.1 | cat /flag,得到flag补充:| 按位或,只执行 | 后面的语句|| 逻辑或,如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句& 按位与,&前面和后面命令都执行,无论前面真假&& 逻辑与,如果前面为假,后面的命令不执行,如果前面为真则执行两条命令linux:; 前后都执行,无论前面真假...原创 2022-03-06 14:49:40 · 133 阅读 · 0 评论 -
[HCTF 2018]WarmUp
先打开题目看到一个滑稽查看源代码 看到一个注释里写了一个文件,所以猜测是文件包含漏洞先打开这个文件看一下点击执行,获得了文件里的内容并且分析一些各函数的作用,方便后续做题 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = [".原创 2022-03-06 14:34:58 · 76 阅读 · 0 评论 -
[GXYCTF2019]BabyUpload
打开题目先上传一个php文件,发现一个限制所以可以用.htacess绕过上传一个.htacess文件,内容为AddType application/x-httpd-php .png上传时需要抓包修改显示上传成功!再上传一个含有一句话木马的png文件就可以了但是当上传的时候并没有成功原来是content-Type限制为image/jpeg抓包修改即可,方法同上显示上传成功,就可以用蚁剑连接根目录下即可找到flag原创 2022-02-18 21:18:57 · 144 阅读 · 0 评论 -
[MRCTF2020]你传你马呢
打开题目先传一个php文件看来被拦截了修改为png,再抓包修改一下文件名看来还是不行,只能换一个方式了上传刚刚的png文件再上传.htaccess,都上传成功就可以了上传.htaccess时也会被拦截,需要修改一下文件类型,将content-Type改成image/jpeg然后上传成功,就可以用蚁剑连接了然后找到flag...原创 2022-02-17 20:02:46 · 193 阅读 · 0 评论 -
[ACTF2020 新生赛]Upload
打开题目先上传一个一句话木马文件试试,提示该文件不允许上传看来只能上传这三种,那就只能抓包了,修改后缀为png,然后抓包,这里修改为php或等价扩展名应该都可以,不过我习惯使用phtml然后发送,提示上传成功然后用蚁剑连接连接成功找到flag...原创 2022-02-16 13:38:43 · 4516 阅读 · 0 评论 -
[极客大挑战 2019]Upload
打开之后是一个文件上传的题,先上传一个php文件试试提示不是一个图片初步猜测是修改content-Type,抓包试试使用burpsuite抓包原创 2022-02-15 13:42:28 · 532 阅读 · 0 评论 -
[极客大挑战 2019]HardSQL
打开题目:随便输入一个用户名密码,提示密码错误,但是输入1' union select 1,2,3#,显示的是不同的语句经检查,发现空格被过滤了,所以我们需要用括号来代替空格而且由于union被过滤了,所以想到了updataxml函数,具体可参考这篇文章updatexml函数_m0_62092622的博客-CSDN博客 https://blog.csdn.net/m0_62092622/article/details/122721621?spm=1001.2014.3001.550原创 2022-02-12 18:17:23 · 543 阅读 · 0 评论 -
[极客大挑战 2019]BabySQL
打开题目发现上面写自从前几次网站被日,我对我的网站做了严格的过滤,你们这些黑客死心吧!!!所以我们看一下是怎么过滤的吧!输入select看来是把一些关键词过滤成了空格,可以使用经典的双写绕过经检查,发现select,from,where,union查询表列数、显示位、版本、用户什么的就省略了,查询表名1' uunionnion sselectelect 1,2,group_concat(table_name) frfromom information_schema.tab原创 2022-02-12 17:39:19 · 1654 阅读 · 0 评论 -
[极客大挑战 2019]LoveSQL
先随便输入一个,显示密码错误在用户名后加单引号试试说明存在SQL注入输入万能密码1' or 1=1# 得到了账号密码尝试解密这串密码无果,所以按照SQL注入继续吧,先查询表列数当输入1' order by 4#时,页面报错,说明表有三列接着查询显示位1' union select 1,2,3#查询用户数据库及版本1' union select 1,2,concat_ws('~',database(),user(),version())#查...原创 2022-02-12 17:21:14 · 1426 阅读 · 0 评论 -
[强网杯 2019]随便注
打开靶机后先输入引号,报错说明存在SQL注入再输入万能密码1' or 1=1#,返回了表内所有数据,不过不像上一题给出了flag,总不能每道题都那么水吧输入1' union select 1,2,3#,发现网页过滤了select等一系列关键词,且无法通过大小写绕过试一下堆叠注入(堆叠注入原理:在sql中,分号表示一条语句的结束。如果在分号的后面再加一条语句,这条语句也可以被执行,继续加一个分号和一条语句,这样就可以在一次数据库的调用中执行多个语句)输入1'; show t原创 2022-02-11 21:24:10 · 1021 阅读 · 0 评论 -
[极客大挑战 2019]EasySQL
打开靶机,看到页面先随便输个,提示密码错误 加个分号试试说明存在SQL注入万能密码试试flag出现了,果然是简单题原创 2022-02-11 20:59:17 · 350 阅读 · 0 评论