- 博客(16)
- 收藏
- 关注
RSS订阅原创 第九届中国海洋大学信息安全竞赛WP
echo '告诉你secret的md5值也无妨,反正哈希是不可逆的๑乛◡乛๑,除非你能箨斩攻击我'.md5($secret.'ouc').'<br>';echo '还是被你解出来了'.' ྀི ྀིɞ ྀི ིྀ ིྀ'.$flag;echo 'but'.'如果我寄出===阁下又该如何应对๑乛◡乛๑'.'<br>';echo '你知道b等于什么能绕过这个弱类型吗(〃` 3′〃)'.'<br>';echo '好,那么好'.'<br>';echo "哎呦,不错喔".'<br>';die('听说你是黑客');
2024-04-28 18:49:51
1002
原创 XYCTF 2024 WP
首先访问robots.txt有一个l0g1in.txt,访问即可得到账号和密码BP抓包进行一系列伪造即可第一层payload:?第二层payload:GET:?POST:a[]=1这里主要是通过数组绕过preg_match,然后构造preg_replace/e 漏洞通过fastcoll生成两个md5值一样的图片即可。
2024-04-28 17:48:05
1508
3
原创 2024 PaluCTF WP
又双是一个人孤立无援,由于电脑的原因,应急响应部分的环境一直崩,然后又得重启,(得同时重启8台虚拟机,然后重新登录,每次环境启动又得10多分钟,访问Jumpserver莫名其妙老是给我弹502网关错误,然后就开始摆烂了,啊啊啊啊真的要崩溃了。提交格式给了提示,一开始我以为是 /var/www/html/index.php,因为看回放的是他写入了一句话,但是格式不对,最后在app.py得到了答案,后门路由地址为/api/system。当然言归正传,这次比赛还是学到了应急响应的不少东西的。
2024-04-22 12:11:34
990
1
原创 ISCC2023 web复现——老狼老狼几点了&where_is_you_love
老狼老狼几点了 :主要考点 session序列化字符串逃逸和md5强绕过where_is_you_love:主要考点 POP链,RSA算法 (由于没环境我只复现POP链)
2024-01-13 16:00:24
2038
1
原创 ctfshow元旦水友赛 easy_web
好家伙,过年都不让人好好过,为了一个flag硬是能折腾一天,记录一个对php://filter伪协议考的比较深的题,让我知道不能就知道个php://filter/read=convert.base64-encode/resource=flag.php了。关于php://filter伪协议我看了觉得比较详细两篇文章,放下面了。
2024-01-03 18:24:47
2096
1
原创 Polar靶场 XXE
对于XXE的了解本人也不是很深,因为外部实体注入漏洞现在并不是特别常见,我记得之前Google好像就爆出了一个XXE的CVE。XXE漏洞是基于可扩展标记语言 ( XML) 而产生的漏洞,XML是用于存储和传输数据,而对应的HTML语言是用来显示数据的。查看libxml版本是2.8.0,说明存在XXE漏洞,并提示dom,我后台扫出来也是存在一个dom.php文件。提示我们flag在flagggg.php里,我们先点击phpinfo。可以看到一些报错信息,我们可以利用XXE直接外带XML语句取读取文件。
2023-12-27 23:40:46
476
1
原创 Polar靶场 某函数的复仇
常规读取文件的命令cat,tac,head,sort等被过滤,我们可以直接使用反斜杠 \ 绕过,当然也可以使用less,tail命令来绕过。可以看到成功RCE,这里phpinfo()是无法执行的,因为过滤了h,题目提示或者 ls / 可以知道flag在根目录。题目的意思很明显了,就是让我们利用 create_function这个函数getshell,我们让 $shaw=其中}是为了闭合函数,//是为了注释后面的代码从而让我们执行我们想要执行的代码。create_function() 函数。
2023-12-26 17:37:06
533
1
原创 Polar靶场 毒鸡汤
查看源码并查看后发现index.php,wulu.php,dog.php文件,除此之外没发现什么可用信息,扫后台发现www.zip源码泄露。继续代码审计发现index.php文件里存在文件包含漏洞。最后利用filter读取根目录下的flag。记录一道文件泄露加任意文件包含的题。提示我们flag在根目录。发现hint.txt。
2023-12-17 23:57:38
422
1
原创 Polar靶场 wu
/这一步是关键,_/_._由于分母_在做除法时会转换成0,相除后就是无穷 大,._ 让其强制转换为字符串就是NAN,['!//相当于$_POST[_]($_POST[__]);
2023-12-14 13:04:39
416
1
原创 Polar靶场 再来ping一波啊
一眼就可以看出是RCE,但是过滤了很多东西,比如空格,可以用$IFS$9绕过;又经过很长时间考虑,想到可以看看index.php源码,看看会不会有提示,但是题目过滤了index,老规矩,编码绕过。echo$IFS$9bHMgLw==$IFS$9|base64$IFS$9-d|sh 相当于执行 ls /利用${PATH:0:1}就可以得到 / 了,但是他把 { } 也过滤了。记录一个非常坑的题,考的是RCE的编码绕过(可能也有别的做法)本以为结束了,但是。拿到最终flag(随便可以看看做了哪些过滤)
2023-12-12 19:33:00
560
原创 Polar靶场 写shell
一句话的base64,至于前面为什么要加个a,主要是为了让前面的<?php exit();代码很简单,就是向让我们写shell到一个文件里,但是文件的内容被拼接上了"<?",这就导致如果我们按常规思路写shell进去的话,执行时就会直接先执行exit()退出了,我们后面的shell代码是无法执行的。payload的整个意思就是在shell.php里写入一句话的base64加密内容,文件名利用php://filter/进行解密,这样的话,记录一个PHP中绕过exit()写shell的方法。
2023-12-12 12:56:05
508
原创 Polar靶场 PHP是世界上最好的语言
POST[flag1]=8gen1,根据parse_str($_SERVER['QUERY_STRING'])的作用,会将_POST[flag1]变成变量$_POST[flag1],再结合extract($_POST);我的理解就是将传进来的GET和POST参数都会变成一个变量,这个函数的主要作用就是为了绕过$flag1 == '8gen1' && $flag2 == '8gen1'接下来就是绕过if(isset($_POST['504_SYS.COM'])),这里要注意的是PHP里的非法传参。
2023-12-11 23:30:48
618
1
原创 [安洵杯 2019]easy_serialize_php
s:65:"a ’ 变成user的值,则后面的s:3:"img";s:65:"a ’的长度是24,说明我们要将user的值变为guestflagflagflagflagflagflag,这样的话当执行filter函数后user的值就少了24个字符,就会将‘ ";$_GET['img_path']){ //这里只能进入到第一次判断,因为else里面的$_SESSION['img']进行了sha1加密,后面可利用的点只进行了base64解密。s:65:"a ’的长度真好是29,说明逃逸成功。
2023-12-11 13:14:53
1012
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人