![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
CTF比赛
文章平均质量分 84
_rev1ve
这个作者很懒,什么都没留下…
展开
-
[NKCTF 2024]web解析
create内为null,并且也没有其他可以引用的对象,这时候想要逃逸我们要用到一个函数中的内置对象的属性arguments.callee.caller,它可以返回函数的调用者。本题是考察如何沙箱逃逸实现RCE,waf过滤很多,process被办意味着我们需要用别的手段去得到process对象,中括号被办就不能利用js特性拼接绕过,接下来是最为精彩的一步,利用javascript内置函数去返回一个属性描述符(PropertyDescriptor)对象,其中包括value也就是属性值。原创 2024-03-25 22:59:52 · 1179 阅读 · 0 评论 -
[NSSRound#18 Basic]web解析
也就是说需要门酱自己网站的链接去跳转,由于我们通过xss语句已经插入到img的src中实现跳转到元梦之星。按照提示和php开发仓库入侵有关,搜出来刚好是对应题目php版本,可以利用。我们要跳转到元梦之星用到location去跳转,最基础的payload。点开评论区不难发现应该是想玩元梦之星,这里有个评论功能可以上传图片。所以我们只需要抓包跳转时的界面,就可以得到门酱跳转时的请求参数值。nc连接的靶机上传脚本比较麻烦,所以我们写马利用蚁剑上传。打开题目提示在/root里面,应该是最后要提权。原创 2024-03-15 16:02:51 · 588 阅读 · 0 评论 -
[ctfshow 2023元旦水友赛]web题解
按照waf_in_waf_php对name的值进行waf以及waf_in_waf_php中的hint是base64,并且结合。简单点讲,就是我们先对我们的chu0的值进行加密也就是标记,然后拼接在一起后进行过滤器解析,利用最后的base64-decode无法解析前面ctfshowshowshowwww的垃圾字符被去除掉,而我们的chu0的值则会被正确解析并保留。有一个特性,当GET和POST有相同的变量时,匹配POST的变量,那么就可以同时传参GET和POST即可绕过,也就是POST传参数字。原创 2024-01-05 15:33:49 · 2837 阅读 · 4 评论 -
[NCTF 2023] web题解
e /readflag命令中的e参数是用来执行一个外部命令的。第一个我们前文已经知道banned_users_regex()函数的具体执行过程,test()返回一个布尔值,由于我们刚刚测试过设置了全局标志,连续的执行 test() 方法会使其布尔值发生改变,我们往下看在app.use处发现会更新封禁用户正则信息。果然是扫出来几个插件,重点看向all-in-one-video-gallery和drag-and-drop-multiple-file-upload-contact-form-7以及对应的版本。原创 2023-12-31 09:14:15 · 1287 阅读 · 0 评论 -
[楚慧杯 2023] web
登陆后啥也没有,扫一下发现源码泄露www.zip。这里考点是文件上传注入,对文件名注入。打开题目,有个登录框,随便登录进去。分析一下发现是哈希长度拓展攻击。打开题目,源码给了用户密码。bp抓包修改cookie。原创 2023-12-17 17:12:40 · 609 阅读 · 0 评论 -
[Geek Challenge 2023] web题解
考点:换行绕过,intval函数绕过,sha1绕过,php解析特性。然后就是find命令查找能用的,发现有find命令,得到flag。题目过滤了字母数字,应该是无参rce,不过eval没被过滤。文件内容一句话木马会被检测,要修改为短标签。题目对文件名没有检测,后缀可以为php。然后检测MIME类型,我们只需要修改为。发现权限不够,那么我们写马蚁剑连接。bp抓包修改MIME,上传成功。访问,命令执行得到flag。我们查看下权限,发现只有r。F12找到hint,提示。用异或绕过,构造如下。原创 2023-12-06 11:29:45 · 547 阅读 · 0 评论 -
山东省技能兴鲁网络安全大赛 web方向
来过滤get请求的内容,但是没有过滤post请求,后面还都通过@extract()来引入变量,进行变量的覆盖操作,那么这样就可以post方法传递session。先设置了session_start(),创建会话。判断是否有输入来设置了cookie,fl_value进行一些简单的过滤,使用request设置cookie,这里会检测MIME,我们上传一句话木马后bp抓包,修改MIME即可绕过。然后就继续找文章,发现存在变量覆盖拿到admin用户的漏洞。去网上找一下相关文章,发现有后台登陆,文件上传等漏洞。原创 2023-11-14 18:12:31 · 642 阅读 · 2 评论 -
[SHCTF 2023新生赛] web题解
但是我们怎么能获取key呢,只能对SESSION_KEY进行猜测,就是并未设置SESSION_KEY,所以我们可以本地搭环境得到session值去伪造。我们的方法是strip_tags绕过,因为死亡代码实际上是XML标签,既然是XML标签,我们就可以利用strip_tags函数去除它,而php://filter刚好是支持这个方法的。这想法是怎么想的呢,首先哈希拓展攻击是单向的,无法反推。这里跟网上的例题不太一样,这道题目给的是flag的MD5值,而不是。考点:go代码审计,session伪造,通配符绕过。原创 2023-10-30 07:31:05 · 703 阅读 · 0 评论 -
[FSCTF 2023] web题解
分析一下,就是简单的MD5绕过和php解析特性。php中变量与变量之间用点号连接表示拼接。直接ctrl+u查看源码得到flag。题目拼接结果为passthru。打开题目,发现右键被禁了。原创 2023-10-26 22:33:43 · 1121 阅读 · 0 评论 -
[SWPUCTF 2023 秋季新生赛] web题解
然后就是上传的时候有两个if语句,第一个成立,第二个不成立。由于GET和POST传同一个参数没有先后顺序,所以不能用下面的方式去实现变量覆盖。分析一下,MD5和sha1都可以用数组绕过,然后用php伪协议中的data协议。分析一下,首先是参数名利用php解析特性;强等于,但是__wakeup方法会赋值,所以采取引用绕过的方式,exp如下。我们可以bp抓包,依次再三个参数fuzz测试(在页面处输入不了。考点:源码泄露,变量引用绕过__wakeup,php变量覆盖。打开题目,先试试普通一句话木马,发现被检测。原创 2023-10-21 21:31:37 · 1801 阅读 · 0 评论 -
[NewStarCTF 2023] web题解
分析一下,第一个if语句判断条件为上传的password参数的MD5值前六位为c4d038;和反引号去绕过对system函数的过滤,反斜杠绕过flag,tac替换cat命令。(多次尝试,发现回显的位置在5而不是1,开始卡了很久没回显)简单的文件包含,这里过滤了常见的转换过滤器base和rot。打开题目,发现是小游戏(题目跟最近打的SHCTF比较像)我们丢到重放器,发现是页面302状态,并且出现了提示。(这里用XFF不行,我用的是X-Real-IP)打开题目,提示我们传参两个数,然后帮我们计算。原创 2023-10-16 10:29:50 · 11045 阅读 · 34 评论 -
[MoeCTF 2023] web题解
它使用 split() 方法根据点 (.) 分隔符将文件名拆分为数组,并使用 pop() 获取结果数组的最后一个元素,该元素表示文件扩展名。在这个例子中,只允许上传扩展名为 ‘png’ 的文件。后,可以发现Spear_Owner的值我们是修改不了的。这里我选的是构造7*(di_qi_qiang),因为当它被替换后长度差为5,5*7刚好为我们要的。将下面的ip复制,把题目的localhost改掉,即可抓本地包。,同时结合我们的目的,我们可以利用字符串逃逸来实现绕过。bp抓包,添加我们的参数,得到flag。原创 2023-10-14 18:24:55 · 389 阅读 · 4 评论 -
[0xGameCTF 2023] web题解
分析一下,过滤了分号,空格,斜杠,flag。参数c不为数字,不等于1024,且转换为整数时等于1024;简单分析一下,首先会检测MIME类型是否正确,然后经过二次渲染上传到指定路径。查看页面源码,发现存在前端检测(所以命令执行要bp抓包)和告诉我们hint。(这里我最初上传的gif带一句话木马刚好没被改,就不用再添加一句话木马了)然后在posts文件夹找到,得到flag。我们这里用的是gif,我们先上传一下。bp抓包,添加命令得到flag。访问,命令执行得到flag。按照要求来,得到flag。原创 2023-10-14 09:54:25 · 1873 阅读 · 9 评论 -
[SICTF 2023] web&misc
所以,我们至少知道了16个准确的字节,超过了12个字节,已经满足深入明文攻击的条件了,(多的已知字节可以加快速度),接下来就使用工具即可。简单分析一下,我们要GET传参一个值不为123且需要在首行正则匹配到123。这里用反引号绕过,不过注意点是eval函数,把字符串作为PHP代码执行。开始攻击的同时运行py脚本,用来判断是否访问成功。这里卡了一下,但是仔细看了下就三个数字不停重复。我们尝试随便上传个png图片,发现直接被删了。跑了二十来分钟,出了zip的三段内部密码。打开题目,告诉了我们上传文件的路径。原创 2023-09-10 23:10:36 · 633 阅读 · 0 评论 -
[羊城杯 2023] web
查询得知,存在 PHP<=7.4.21 Development Server源码泄露漏洞(打开题目,可以判断这里为php Development Server 启动的服务。复制到谷歌,发现GitHub上面有解码工具。,下载完解压,猜测是某种编码。抓包,构造payload。原创 2023-09-04 21:03:36 · 853 阅读 · 0 评论 -
[SWPUCTF 2022 新生赛] 刷题记录
SWPUCTF 2022 新生赛若调用类中的静态方法,则需要传递一个数组作为第一个参数。数组的第一个元素是类名,第二个元素是要调用的静态方法名。F12,web开发者都被办了,尝试查看源代码,得到。跟第二关相比变成了强等于,直接数组绕过。打开题目,发现加到19就会变成-20。很明显是使用sql注入中的万能密码。一看就是base64加密,直接解码。打开题目,第一关提示在http头。分析一下,提示POST传参,出现。分析一下,进行反序列化时,会让。然后执行函数,且参数值为。绕过后,得到第三关源代码。原创 2023-08-12 20:14:37 · 819 阅读 · 0 评论 -
陕西省赛 SSCTF
打开另外一个文件夹,先用Audacity打开那段音频。图片命名为hide,应该是藏在文件里,又有密码。另一个txt打开,发现藏了东西,提示雪。将其中的key.jpg拖到kali。直接用kali的steghide。下载附件,发现有个加密的zip。得到密码,尝试去解压,发现不行。刚刚那个应该是对应这个密码。把txt文件拖到文件夹。原创 2023-06-04 13:50:10 · 98 阅读 · 0 评论 -
[GDOUCTF 2023]
再找到hahaha()所在的类为classroom,要使返回为真,三个变量赋值得为对应的值,leader指向name和rank的值,也就说明$leader=new teacher(),发现name和rank是在teacher类那里,file_get_contents()可以用php://input和data://伪协议。要执行IPO(),看到__wakeup()下,要先执行hahaha()题目是贪吃蛇游戏,F12发现被禁了,右键检查查看js代码。打开题目,f12查看网页源码发现提示/src泄露。原创 2023-05-17 23:46:08 · 947 阅读 · 0 评论 -
[LitCTF 2023]刷题记录
提示我们不是来自于pornhub.com,利用Referer。发现为文件上传,直接传php发现成功(啥过滤都没有)F12一下发现提示admin,admin,直接登录。题目提示vim编辑器,用kali打开文件。发现题目已经告诉我们sql语句的闭合方式。直接去/.index.php.swp下。我们ping一下,127.0.0.1。直接在game.js找到flag。我们得伪造admin,加密一下。打开题目,直接js找flag。发现有过滤,要绕过前端检测。再次输入命令,得到flag。找了半天,发现是改过的。原创 2023-05-17 22:17:58 · 776 阅读 · 0 评论 -
[NISACTF 2023]
解释:先获得所有已定义的变量,指的是$_GET,再返回一个数组中正被内部指针指向的元素,多传一个get参数,end() 函数用来将数组的内部指针指向最后一个元素,eval执行。还有一个current() 函数,可以返回一个数组中正被内部指针指向的元素,在题目这里就是$_GET。这里要用到php的特性函数get_defined_vars(),可以获得所有已定义的变量,包括$去echo我们的命令,去提权让所有人能执行flag文件的权限。零宽度字符在通常情况下,在一般的文本编辑器中是不可见的。原创 2023-04-19 13:13:00 · 320 阅读 · 0 评论