hcjtn-CSDN博客

原创 [SUCTF 2019]EasyWeb 1

进入环境，发现源码：在这道题中有大量的过滤首先是要求传入的变量长度小于18紧接着就是严苛的正则匹配，我们前面有见过这里要采用异或或者取反绕过由于禁用了这里取反无法实现这里放一篇师傅的抑或脚本：构造payload：flag竟然·在phpinfo里面感觉前面的原代码都没啥用上网看了师傅们的wp后发现这只是一种取巧的方法，正常的思路因该是：但是一片空白上面还有代码没看，我们仔细研究下：总结：我们上传的文件后缀不能为 php 同时会检查文件头不能含有得到上传

2022-06-04 17:25:41 1273 1

原创 [红明谷CTF 2021]write_shell 1

进入环境，首先进行代码审计代码审计<?phperror_reporting(0);highlight_file(__FILE__);function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ .

2022-05-28 12:38:33 915

原创 [CISCN2019 总决赛 Day2 Web1]Easyweb 1

[CISCN2019 总决赛 Day2 Web1]Easyweb 10x00 前言就这道题而言，并没有单一的考察某一个知识点，而是将我们前面的 sql和upload等一些知识结合起来。0x01 备份文件下载首先我们的打开环境让我们进行登录一开始我以为是弱密码爆破直接使用bp，爆出来个寂寞之后查看源码，抓包查看无果后尝试进行目录扫描，发现网站中存在 robots.txt查看robots.txt ,发现该网站中存在含有备份文件下载备份文件<?phpinclude "c

2022-05-21 17:55:47 1278

原创 [RCTF2015]EasySQL 1

[RCTF2015]EasySQL 1进入环境，发现注册页面和登录页面我们尝试进行注册admin，页面回显用户存在，第一时间就想到了二次注入。注册 admin"#,登录后更改密码，成功。登录admin ，发现和普通有用户没有区别。之后就是寻找注入点，只有登陆界面，注册界面和changepwd界面可能存在存在sql注入。我们知道二次注入主要是插入恶意数据和引用恶意数据。注册界面主要是进行一个插入数据，肯定需要一个界面进行恶意数据的引用。我们在注册界面输入恶意数据分别进行尝试尝试后发现，登

2022-05-21 11:54:24 1332

原创 BUUCTF：[极客大挑战 2019]RCE ME ——两种方法

BUUCTF：[极客大挑战 2019]RCE ME打开环境是代码审计题<?phperror_reporting(0);if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long.");

2022-05-16 18:58:28 3514 1

原创 [BJDCTF2020]EasySearch——ssi

[BJDCTF2020]EasySearch 1和上一关相似是源码泄露使用御剑对目录进行扫描发现了 index.php.swp0X01 源码分析<?php ob_start();function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars

2022-05-14 18:21:41 439

原创 [0CTF 2016]piapiapia

[0CTF 2016]piapiapia进入环境，发现了登录页面以为是注入类题目（主要是sql注入），一番尝试后却没有发现注入点尝试使用 dirsearch 扫描目录看看能有什么发现发现了网页源代码 www.zip 以及一系列php文件访问 register.php 注册用户注册登陆后进入就是 update.php 文件，进行用户信息收集提交信息后没有发现什么信息下载网站源代码，进行代码审计index.php和register.php 没有什么值得注意的地方我们重点关

2022-05-14 12:24:59 365

原创 [SUCTF 2019]Pythonginx 1

[SUCTF 2019]Pythonginx 1打开环境，我们获得一串源码@app.route('/getUrl', methods=['GET', 'POST']) def getUrl(): url = request.args.get("url") host = parse.urlparse(url).hostname #解析主机名 if host == 'suctf.cc': return "我扌 your problem? 111"

2022-05-12 10:57:10 882

原创 [MRCTF2020]Ezpop 1——pop链的反序列化

[MRCTF2020]Ezpop 1进入环境，得到源码Welcome to index.php<?php//flag is in flag.php//WTF IS THIS?//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95//And Crack It!class Modifier {

2022-05-11 16:05:56 1700 1

原创 [De1CTF 2019]SSRF Me 1——python代码审计

[De1CTF 2019]SSRF Me 1#! /usr/bin/env python#encoding=utf-8from flask import Flaskfrom flask import requestimport socketimport hashlibimport urllibimport sysimport osimport jsonreload(sys)sys.setdefaultencoding('latin1')app = Flask(__name__)

2022-05-09 18:06:44 576

原创 [安洵杯 2019]easy_serialize_php 1

[安洵杯 2019]easy_serialize_php 1进入环境，我们首先查看 index.php 源码代码审计：$function = @$_GET['f'];function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,''

2022-05-08 11:37:59 2905 2

原创 [WUSTCTF2020]朴实无华 1

[WUSTCTF2020]朴实无华 1进入环境，什么也没有得到，估计就是需要我们进行目录扫描了用dirsearch进行把爆破扫描环境的问题，很多的环境在进行扫描的时候，如果访问过快，就会返回429 ，建议将线程数调小，否则会出现文件 429请况，影响结果dirsearch.py -e bak,zip,tgz,txt -u https://target -t 30我们尝试访问文件访问 fAke_f1agggg.php使用 bp抓包查看情况发现了新的文件，尝试访问发现了朱

2022-05-07 16:18:02 1224

原创 [BJDCTF2020]Mark loves cat 1——（超详细三种方法）

[BJDCTF2020]Mark loves cat 1一进入环境，毫无头绪拿御剑或者 dirsearch 扫出了 .git/ 可以猜出，本关一定与git源码泄露有关我们使用GitHack 看能否从网站上扒出源码图上可以看出确实存在 git泄露但，查看文件后却没有找到 php文件。估计是ctf环境的问题可以git init 初始化一下，然后不停的试，总有运气好的一次，能够从网站上扒出源码文件。（也可以直接从网上直接找）<?phpinclude 'flag.php';

2022-05-05 18:03:12 2960 2

原创 [GWCTF 2019]我有一个数据库 1

[GWCTF 2019]我有一个数据库 1打开环境什么都没有使用dirsearch爆破网站目录，发现了index.php,phpmyadmin, phpinofo以及root.txt只有phpmyadmin提供了有用信息我们访问一下乍一看，感觉是毫无头绪但，仔细观察 phpmyadmin 的版本信息在该版本的 phpmyadmin 存在框架代码漏洞$target_blacklist = array ( 'import.php', 'export.php');// If

2022-05-04 21:05:13 2387

原创 [网鼎杯 2020 朱雀组]phpweb 1

[网鼎杯 2020 朱雀组]phpweb 1在这里，我们查看源码发现页面回显一直在变抓包，查看能否得到更多的信息发现index.php用post方式提交了两个参数，func和p我们尝试猜测这两个参数的关系，可以用最简单的 php函数 MD5 来进行检测发先页面回显的内容就是MD5加密后的123尝试直接查看网站页面看能否成功system被过滤掉了。这里我们需要查看页面源代码，进行代码审计在这里我们可以使用多种函数进行查看例如：file_get_contents、highli

2022-05-04 16:06:39 2321

原创 [GXYCTF2019]禁止套娃1（两种方法）

[GXYCTF2019]禁止套娃 1进入环境，只有一串字符查看源代码抓包什么都没有发现尝试使用御剑进行目录爆破也只是爆出了index.php然后尝试直接使用 php伪协议进行一个 flag 读取但都失败了。在这种情况下，肯定是服务器进行了一个过滤。所以，我怀疑可能是源码泄露。尝试使用 GitHack 看看是不是源码泄露GitHack 下载地址：https://github.com/lijiejie/GitHack扒下了网站的源码好了，现在就是代码审计了最吸引眼球

2022-05-02 12:45:12 4396

原创 [RoarCTF 2019]Easy Java

[RoarCTF 2019]Easy Java在一开始做这道题的时候还以为需要登录成功就可以获得flag 所以一开始尝试弱密码来进行爆破来尝试进行登录发现密码是 admin888登录：知道本题的考点绝不是这个往下看，发现help点击查看发现了 download也就是说本来我们访问页面的时候，应该会进行下载一个文件可是我们却没有得到这个文件试试 php伪协议发现同样失败尝试一下 post传参在这里插入图片描述发现成功访问文件上网查询过 wp 后发现是源码

2022-04-30 18:20:58 1271

原创 [GYCTF2020]Blacklist 1

[GYCTF2020]Blacklist 1在做本题的时候，我们发现过滤掉了很多的关键字很多注入方法已经没有办法使用（联合查询布尔盲注 updataxml的报错注入）并且发现本关的注入方法为单引号只能使用堆叠注入来进行查询查寻库名表名1';show databases-- q库名：supersqli在这里因为没有禁用 extractvalue 所以在这里我们可以构造出 extractvalue 报错注入来查询库名1' and (extractvalue(1,c

2022-04-28 17:18:00 2423

原创 [网鼎杯 2020 青龙组]AreUSerialz 1

[网鼎杯 2020 青龙组]AreUSerialz 1拿到页面源代码我们首先发现存在文件包含直接翻到最下面function is_valid($s) { for($i = 0; $i < strlen($s); $i++) if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125)) return false; return true;}if(isset($_GET{'

2022-04-28 12:13:06 836

原创 [ZJCTF 2019]NiZhuanSiWei 1

[ZJCTF 2019]NiZhuanSiWei 1进入环境，得到源代码观察源代码，发现：我们需要绕过两个点首先是 get传参，让text=welcome to the zjctf在这里我们需要用到 php的伪协议 data://data:// — 数据流读写条件：allow_url_fopen=on；allow_url_include=on作用：作为一个封装器对进行数据流读写使用格式：data://text/plain,[code]eg: data://text/plain,

2022-04-27 10:16:33 526

原创 [HCTF 2018]admin

[HCTF 2018]admin一进入页面，发现，在未登录的情况下，我们只能访问3个页面index、login、register同时我们观察 index 下的源码，发现you are not admin 提示我们要进行登录登录admin可以进行弱密码破解、sql访问数据库查看密码当然，如果没有密码也可以，利用csrf漏洞，跨站请求伪造，让服务器以为我们是 admin先进行弱密码破解，使用burpsuite发现密码是 123登录，获得flag使用 bp 进行弱密码破解破解

2022-04-15 17:05:10 2059

原创 [GXYCTF2019]BabySQli 1

[GXYCTF2019]BabySQli 1我们先判断注入点，发现注入点在用户名（'or 1=1-- q）发现 or 被过滤掉，我们尝试使用大小写绕过，成功。判断字段数：'OR 1=1 order by 1 – q使用联合查询'union select 1,2,3-- q发现没有直接将回显返回出来理论上来说，联合查询是不可以使用的同时，这道题是会有返回了错误信息，是不是感觉报错注入在向自己招手？想尝试的童鞋可以故意使用错误的sql语句看是否有错误信息回显但痛苦的是，在本关过滤掉

2022-04-13 10:35:59 3824

原创 [极客大挑战 2019]PHP 1

[极客大挑战 2019]PHP 1一进入题目，就有页面提示我们“所以我有一个良好的备份网站的习惯”所以我们尝试着输入网站源码备份文件，看看能否访问常见的网站源码备份文件后缀:tar.gz，zip，rar，tar常见的网站源码备份文件名：web，website，backup，back，www，wwwroot，temp发现www.zip可以成功获得网站源码备份下载后，发现有3个php文件我们先访问一下 index.php文件，发现：<?php include 'clas

2022-04-12 17:50:45 5784

原创 CTFHub WP PHP-FPM

CTFHub WP PHP-FPMPHP-FPM未授权访问漏洞早期的web服务器只能处理html等静态服务器，但是随着技术的发展出现的动态语言，web服务器无法处理。这时候出现了各种语言的解释器，但是web服务器如何于语言解释器进行沟通，如何去判断是什么语言，这时候 cgi协议应运而生。只要我们按照cgi协议去编写代码，就可以被服务器识别。但是 web服务器每收到一个请求，都会去请求一个 cgi程序，解析完成结束进程。这样的话，假如请求次数过多，每一个请求都会进行一次开启、结束，造成了资源的浪费

2022-04-09 10:02:28 780

原创 CTHHUB技能树 FFI

CTHHUB技能树 FFI在以前如果我们想要在 php中应用c语言的库，我们需要用c语言写 wrapper，把他们包装成扩展，在php7.4版本中，引入了一个扩展：PHP FFI 提供了高级语言的相互调用，或者说就是让我们在 php 里面。调用 c代码的技术。这里面就存在安全漏洞，我们可以利用 FFI扩展来执行 c的函数，来达到绕过disable_function的目的FFI的使用只需要声明和调用两步声明FFI，使用c语言的system函数$ffi = FFI::cdef("int syste

2022-04-08 19:24:11 1217

原创 CTFHub WP LD_PRELOAD

CTFHub WP LD_PRELOAD在做渗透测试中，有时候会遇到无法执行 shell命令的情况，有可能是php函数 disable_function禁用了危险函数，如dl exec system passthure等等（eval并非PHP函数，需要PHP扩展 Suhosin对其进行禁用）disable_function 是php.ini中的一个设置选项，用来禁用php中的某些函数，通常是危险函数。如果了解过linux动态加载的话，我们就会明白还有一种无法执行 shell命令的情况，那就

2022-04-08 15:06:27 1300

原创 CTFHub Linux 动态加载

CTFHub Linux 动态加载观察页面，写着没有 x权限，说明我们没有办法执行根目录下的 elf 文件 readflag，所以我们无法利用下方的 webshell 获取flag（我们的权限不够）我们发现无法访问到 flagLinux 下x(eXecute,执行):对文件而言,具有执行文件的权限;对目录了来说该用户具有进入目录的权限Linux 755权限 & 644权限：在linux下，chomd也可以用数字表示权限如 chomd 777 file语法为： chomd x

2022-04-02 20:40:52 1930

原创 ctfhub 技能树 JSON Web Token 修改签名算法

ctfhub 技能树 JSON Web Token 修改签名算法有些JWT库支持多种密码算法进行签名、验签。若目标使用非对称密码算法时，有时攻击者可以获取到公钥，此时可通过修改JWT头部的签名算法，将非对称密码算法改为对称密码算法，从而达到攻击者目的。一进入页面，我们发现页面源码：<?phprequire __DIR__ . '/vendor/autoload.php';use \Firebase\JWT\JWT;class JWTHelper { public static fu

2022-04-01 17:54:33 1767

原创 ctfhub 技能树 ——JSON Web Token 弱密钥

ctfhub 技能树 ——JSON Web Token 弱秘钥如果JWT采用对称加密算法，并且密钥的强度较弱的话，攻击者可以直接通过蛮力攻击方式来破解密钥。尝试获取flag和 JSON Web Token 无签名一样，我们使用 admin 和 123456 进行登录查看发现，和上一关的登录界面相似我们使用 Burip suite 进行抓包查看本关和上一关不同的是本关不能使用 none算法换句话说我们需要知道签名的密匙，在关卡一开始就提示我们：JWT采用对称加密算法，并且密钥的强度较

2022-04-01 14:29:06 1844

原创 BUU XXE COURSE

BUU XXE COURSE我们发现输入得用户名以弹窗（alert）的形式输出同时 F12 进行前端查看发现在提交按钮处有<button id="go" onclick="XMLFunction()">GO!</button>说明我们的数据传输方式为 xml当然，我们也可以直接在burp suite 进行抓包查看我们看到了 xml 文档声明：<?xml version="1.0" encoding="UTF-8"?>所以，可能存在 xx

2022-03-26 10:20:03 2959

原创 XSS labs 闯关大合集

XSS labs 闯关大合集level 1首先，一进入页面，我们发现图片中说：欢迎用户test ，结合我们看见url栏中 name=test 我们就会怀疑网页将 name参数的值回显到页面中我们尝试一下，让 name=hcj 查看回显。查看页面源代码：<!DOCTYPE html><html><head><meta http-equiv="content-type" content="text/html

2022-03-19 13:36:53 4017

原创由ctfhub信息泄露题型对常见信息泄露漏洞总结

由ctfhub信息泄露题型对常见信息泄露漏洞总结.备份文件泄露一般而言，技术人员为了保证项目安全，会经常对项目和数据库等在线上做备份工作。但是，由于缺乏完整的备份机制，很多技术人员会把项目压缩包和数据库SQL文件直接备份到WEB目录。黑客通过对网站目录进行暴力猜解，能够发现这些备份数据，并且下载到本地进行分析，从而导致严重敏感信息泄露，进一步造成网站被入侵等更严重的损害。网站源码在 ctfhub 中的备份文件下载中：对网站源码进行下载查询在本关：题目提示我们常见的网页源码备份文件及文件

2022-03-13 12:21:21 3569

原创 BUUCTF [GXYCTF2019]Ping Ping Ping 1

[GXYCTF2019]Ping Ping Ping 1在本题我们考察的是命令执行已进入本关，我们发现他在询问 ?ip我们先尝试输入?ip=127.0.0.1发现访问成功查询一下它的目录：?ip=127.0.0.1|ls发现有两个文件夹flag.php，index.php，发现 flag 我们尝试访问 flag。?ip=127.0.0.1|cat flag.php点击查询，很明显我们需要进行一个空格的过滤空格过滤常见绕过注释：< > %20(spac

2022-03-11 17:03:40 5631 2

原创 BUU ctf [SUCTF 2019]EasySQL 1

[SUCTF 2019]EasySQL 1本题是 EasySQL 但是我感觉一点都不简单。我们打开界面发现很像上一关的随便注，但是我尝试了联合查询报错注入布尔盲注堆叠注入发现都不能查询到 flag 。仅仅堆叠注入可以查询的 tables 一级。查询过大佬的博客后发现本题考查的是 sql_modesql_mode：是一组mysql支持的基本语法及校验规则PIPES_AS_CONCAT：将“||”视为字符串的连接操作符而非或运算符，这和Oracle数据库是一样的，也和字符串的拼接函数

2022-03-11 14:35:25 2053

原创 [HCTF 2018]WarmUp 1 滑稽图（详解）

[HCTF 2018]WarmUp 1查看页面源代码，发现html中忽视了 source.php ,接下来我们访问 source.php<?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>

2022-03-06 12:30:19 4024 1

原创 BUUCTF [强网杯 2019]随便注 1（两种方法）

2022-03-05 12:39:10 10667 14

原创 BUUCTF--BUU UPLOAD COURSE 1

BUUCTF–BUU UPLOAD COURSE 1一进入本题，我们先尝试上传文件，发现我们无论上传什么文件都会上传成功。我们尝试直接上传 shell.php 文件，上传成功，但在访问的时候发现：我们没有办法访问，使用AntSword进行连接也是报错题目没有设置上传后缀的限制但是上传之后任意后缀形式都会被改成.jpg格式（无论我们使用什么办法，包括BP改包，放包后依旧以 .jpg 的格式储存），换句话说 .htaccess 配置文件，也无法使用我们无法使用中国剑蚁进行连接。查询了大佬的博客

2022-03-03 21:17:53 7070

原创 CTFHub 技能树-- RCE（详解）

CTFHub – RCERCE漏洞，可以让攻击者直接向后台服务器远程注入操作系统命令或者代码，从而控制后台系统eval执行文件查看一开始的源代码：<?php if(isset($_REQUEST['cmd'])){ eval($_REQUEST['cmd']); } else{ highlight_file(__FILE__); }?>php函数意思是：是否由变量cmd 如果有，就执行eval($_REQUEST['cmd

2022-02-20 20:00:47 5026 1

原创文件上传漏洞——upload-labs 1-19 （详解）

upload-labs-1 删除 js 进行绕过上传图片，发现上传成功上传 shell 发现：发现是白名单，所以由前面我们知道，极有可能在前端存在过滤，我们检查一下：发现 checkFile() 起到了检查过滤的效果，我们将其删去并提交发现：然后用中国以蚁剑进行链接发现成功发现成功同时我们发现仅仅在前端进行过滤是远远不够的，我们可以轻易的删去，所以除了前端，后端也必须进行校验如果我们在使用蚁剑发现了返回值为空说明一句话木马语法错误，如果我们发现返回值是一串乱码则是链接地址

2022-02-19 18:39:27 6649 5

原创 CTFHub ssfr FastCgi协议 & Redis 协议

ctfhub ssfr FastCgi & Redis 协议FastCgi协议这次.我们需要攻击一下fastcgi协议咯.也许附件的文章会对你有点帮助首先我们要先了解这个协议内容（具体查看ctfhub里面的文章）在本关我们可以尝试使用linux解决问题（**需要下载python2版本！！！，否则Gopherus无法读取 **并且下载Gopherus脚本）linux python2下载方法：[参考博客]((1条消息) 完美解决 Linux安装python2.7 方案_你懂了我的冬天的博客

2022-02-18 11:24:26 1792

空空如也

空空如也