Welcome To My6n Blog

创建低价商品和 Flag 商品订单并支付低价订单获取合法 Token，在验证接口同时提交这两个 order_id，服务器后端在逻辑校验时取了合法订单而在结算时取了Flag 订单，存在解析差异。根据一开始的报错页面和源码信息很容易看出来是Spring Boot+ FreeMarker，上传文件的时候文件路径可控，那么利用思路就很清晰了，利用目录穿越上传恶意代码覆盖 FreeMarker 模板文件，路径需要多试试

摘要：本文整理了多个CTF赛题的技术解法，涵盖AI角色扮演、SQL盲注、AES加密破解、LCG算法逆向、SSRF漏洞、NoSQL注入、格式化字符串攻击和恶意包上传等技巧。其中"窥探内心"利用AI角色扮演特性获取系统标识码，"失灵的遮盖"通过逆向AES加密映射表解密数据，"Talisman"使用格式化字符串漏洞修改内存值，"Internal_maneger"通过构造恶意Python包实现远程代码执行。这些解法展示了多种安全漏洞的利

本文记录了多个CTF题目的解题思路和payload。主要包括：1）通过HMAC校验修复损坏的日志文件获取flag；2）利用SSTI注入、目录穿越、git泄露、session伪造、LSB隐写等方式获取敏感信息；3）通过AI补全特性、伪装工单、报错注入等技术绕过限制；4）利用XXE漏洞读取文件内容；5）通过命令注入绕过过滤获取flag。这些题目涉及Web安全、隐写术、系统漏洞等多个安全领域，展示了多种常见漏洞的利用方法。

本文总结了四个CTF题目的解题思路：1.通过字符串拼接绕过Java黑名单限制实现命令执行；2.利用JWT时间戳预测和条件竞争实现SSTI攻击；3.利用原型链污染漏洞在EJS模板渲染中触发RCE；4.通过反序列化漏洞和PHP伪协议实现任意文件读取。每个题目都展示了不同的Web安全漏洞利用技术，包括黑名单绕过、条件竞争、原型污染和反序列化攻击，最终成功获取flag。

摘要：利用FSB漏洞修改GOT表地址实现攻击。测试发现偏移为10，但调试时由于输入34字节导致地址错位（每页8字节剩2字节），需将偏移后移一位。通过构造payload，将exit函数的GOT表地址改为read_flag函数地址。最终利用格式化字符串漏洞成功执行目标函数。关键词：FSB、GOT表、格式化字符串、偏移调整、内存覆盖。

本文总结了5个CTF题解：1.PHP反序列化利用POP链构造攻击，通过类方法绕过保护变量访问；2.后台弱口令和文件上传漏洞利用；3.Flask SSTI注入通过SSRF读取环境变量获取flag；4.XSS漏洞利用双写绕过过滤实现cookie窃取；5.SQL注入通过文件写入获取webshell，利用程序权限读取flag。每个题目都展示了从漏洞发现到利用的完整过程，涉及反序列化、文件上传、SSRF、SSTI、XSS和SQL注入等多种Web安全技术。

本文展示了三个PWN题目的解题方法：1) 利用格式化字符串漏洞泄露canary和libc基址，通过ret2libc技术执行system("/bin/sh")；2) 在sandbox限制下，使用openat、readv、writev等系统调用编写shellcode直接读取flag；3) 在禁用execve的情况下，利用栈迁移和SROP技术构造系统调用链来读取flag。每个解法都针对不同保护机制（栈保护、沙箱限制、系统调用禁用）提出了相应绕过方案，展示了多种漏洞利用技术的实际应用。

本文总结了多个CTF题目的解题思路：1.通过file协议直接读取flag.php；2.使用URL编码和rot13绕过过滤读取flag；3.利用备份文件泄露信息找到flag；4.通过配置文件将.webp解析为PHP执行命令；5.布尔盲注技巧获取flag，需绕过空格过滤；6.SSTI漏洞利用Jinja2模板注入执行函数。每个题目都展示了不同的Web安全漏洞利用方式，涉及文件读取、编码绕过、信息泄露、命令执行、SQL注入和模板注入等技术。

这篇文章摘要了四个不同主题的发现：1）通过日志分析发现webshell访问并获取flag；2）通过OSINT威胁情报搜索直接获得最终flag；3）在音乐文件中发现隐藏flag；4）在星期四的狂想中解码base64加密内容，详细展示了加密逻辑和Python解码过程，最终输出最佳解码结果。每个部分都展示了获取flag的具体方法和结果。

本文摘要： 使用Python实现加密处理，通过Atbash和ROT13对PHP代码进行多层加密后生成Base64密文； 通过抓包分析动态session机制，编写自动化脚本处理数学验证挑战，快速计算表达式并提交token； 发现文件包含漏洞可直接调用MP3文件，绕过前端限制； 在SQLite注入测试中，使用%09替代空格，通过多表JOIN构造联合查询成功获取sys_config表中的配置数据。 （摘要字数：149字）

本文总结了5个PWN题目的解题思路： 32位静态链接程序通过ret2syscall链调用read和execve执行shellcode； 利用格式化字符串漏洞泄露栈数据； 通过分阶段写入执行受限的shellcode； 禁用execve时使用ORW（open-read-write）技术读取flag； 利用越界写漏洞结合ret2csu或ret2libc技术实现攻击。各题目均提供了详细的利用代码，涉及栈溢出、ROP链构造、libc地址泄露等常见PWN技巧。

这是一组CTF竞赛解题摘要，包含5个不同方向的题目解答： 逆向工程题通过Windbg分析蓝屏崩溃，得到flag{CRITICAL_PROCESS_DIED_svchost.exe} 杂项题通过压缩包密码爆破（ns2025）和明文攻击，最终密码d00rkey 开源情报题通过图片元数据分析，确定航班UQ3574、武汉市、小米设备，得到完整flag 隐写题通过修改图片尺寸、栅栏密码和base64换表解密，最终密码New5tar_zjuatrojee1mage5eed77yo# 综合隐写题结合零宽字符、base64

这是一篇关于CTF解题过程的简短摘要： 文章记录了六道CTF题目的解题思路： robots.txt泄露hidden.php，flag在响应头 SQL注入使用万能密码1'or1#登录 通过开发工具发现s3kret.php，用十六进制绕过intval 修改游戏变量score=1000000和currentLevel=1 使用JS解除限制，计算表达式45*45 修改请求参数和请求方法，测试特殊UA头组合 解题过程涉及web安全分析等多种技术，展示了CTF竞赛的典型解题思路。

本文记录了5个PWN挑战的解题思路：1.GNU Debugger通过寄存器查看、内存读取和变量修改完成；2.INT bug利用16位整数溢出，发送32768个正数触发；3.pwn's door直接输入密码7038329获取shell；4.overflow try通过栈溢出跳转到后门函数；5.input function利用可执行栈直接注入shellcode。每个挑战都给出了对应的exp利用脚本，涉及调试技巧、整数溢出和栈溢出等多种漏洞利用方法。

本文描述了一个网络安全挑战的解题过程：攻击者首先通过修改cookie成功登录系统，随后发现nginx配置漏洞导致目录遍历风险，利用双写绕过防护成功读取/etc/passwd文件。进一步分析发现网站存在后门文件hack.php，该webshell经过混淆能绕过常见查杀工具，最终通过Python脚本与后门交互执行系统命令获取flag：ctf{a57b3698-eeae-48c0-a669-bafe3213568c}。整个过程展示了从漏洞发现到权限提升的完整攻击链。

摘要：通过分析rename.php文件处理逻辑，发现存在SQL注入漏洞。利用addslashes函数转义特性，先上传特殊文件名（',extension='.txt）改变数据库记录，然后将后缀名置空。接着上传1.txt木马文件，在改名操作时通过控制extension字段将文件重命名为1.php，最终实现任意代码执行。整个过程巧妙利用数据库查询与更新操作的差异，绕过安全限制完成攻击。

题目涵盖：BUUCTF 第一页杂项。涉及工具：随波逐流、foremost、binwalk、honeyview、010editor、zipperello、archpr、wireshark、cyberchef、QR_Research、PNGCRC爆破、stegsolve、Audacity、河马、D盾、routerpassview、steghide，以及一些在线网站小工具。

所以压缩包的密码就是你看到的那串字符串 base64 解密的结果，只是解密结果有乱码，看你怎么将这个密码传递给压缩包了。压缩包的加密算法是 AES，zipfile 库是不支持的，我们采用 pyzipper。附件是一个自解压文件（放了一点其他好东西，等一分钟就没事了）压缩包里也说了，图片就是隐写基操，改一下高度就可以了。页面没有功能点，F12 看源码，在响应头找到路径。直接解码肯定是乱码，因为我放的就是乱码。由于这里有密钥，直接改名字肯定不行。就是这样的啦，希望你们能学到新东西。随便填一个，拿到新路径。

通过把 time 赋值为 happy 对象，将对象当做字符串就会触发 __tostring 魔术方法，转而继续执行 get_flag 函数，进入一个循环。但是文件传上去了怎么执行呢，文件是不会自己执行的，而且是 python 写的网站，我们 php 传上去也根本解析不了。这一步也是折腾了很久，一开始试了 /bin/ls，/usr/bin/ls，发现都会让环境崩掉。这里有个注释符，一开始想的是闭合再插入新的 php 语句，试了下没成功，采用换行符绕过。

hint 是一张倒着的图片，因此将四块二维码进行旋转、取反色等各种操作后进行拼接，取反色后中间有一个十字，看着像数据矩阵码，进行了各种组合，扫不出来。调用合约的 unlock 函数，使 isSolved 变量为 true

打算去改上周的脚本，结果去跑的时候忘了将上次的最后 payload 注释，直接就上周的脚本就跑出来 flag 了，week3 应该是打算考布尔盲注，week4 是时间盲注，所以直接就都打通了。最后 final.php 是一个反序列化的利用，一开始还想绕过过滤的 chocolate，后面发现不需要绕过，并且 url 编码后传入不行，直接传序列化后的内容。又看到另一个下载插件路径可控的，但是插件管理里面并没有看到可以下载插件的地方， 手动构造一下，但是似乎出不了网...

最后采样率 22050 下 ctrl+A 全选导出，删掉了左声道，并且没有增强音量下导出。试了很多纯 C++ 的发现不行，那就采用内敛汇编，主要是还做了长度限制。直接搜 flag 没搜到，搜了下 base64 编码后的结果还真搜到了。拿到 flag：flag{U_W1n!最终正确 flag：flag{MU5156_济宁市}试了很多次，特别注意啊，一定不要增强它的音量！听得出来就是十六位，但是尝试了好久。

使用 data 协议，结合 base64 编码绕过。这道题当时写的 exp 能打通 week3 和 week4 的，所以下周再给大家放出来。审代码的时候发现这句，说明应该是还有一个叫 flag.py 的文件

这个是 Windows 早期使用的 LM 哈希，通常较弱，容易被破解。在现代系统中一般用 aad3b435b51404eeaad3b435b51404ee 表示未启用（即空值）。我们需要爆破第二个的 hash，NTLM 算法生成的哈希值

在 PHP8 之前，如果参数中出现中括号[，那么中括号会被转换成下划线_，但是会出现转换错误，导致如果参数名后面还存在非法字符，则不会继续转换成下划线。也就是说，我们可以刻意拼接中括号制造这种错误，来保留后面的非法字符不被替换，因为中括号导致只会替换一次。顺便说下这里回溯绕过和数组绕过都是不行的，回溯一般用于匹配不到的情况，这里是要求匹配成功，其次我传了下服务器直接处理不了，数组的话也是一般用于匹配不到，因为 preg_match 处理不了数组会直接返回 false，显然这里需要的是返回 true。

第一周的题比较简单所以 ak 了，勇师傅也就新生赛能体会下全栈的感觉，实则菜鸡一枚哈哈哈，要学的东西还多，慢慢来吧，路漫漫其修远兮，吾将上下而求索。

关于 CTF 靶场的搭建（使用 CTFd 或者 H1ve）以及 AWD 攻防平台的搭建，勇师傅在前面博客已经详细写过，可以参考我的《网站搭建》专栏，前段时间玩那个 BaseCTF，发现它的界面看着挺不错的，了解到也是一个开源项目-GZCTF，网上未见有这方面的详细介绍，看了下网上都只是简单说了下怎么搭出 GZCTF 这个靶场的界面，然而对于后续题目的部署并未进行详细的介绍与说明，因此这里分享下自己的部署经验以及可能遇到的问题、注意点与解决方案。

在 FTP-Data flag.zip 这条发现压缩包（flag.txt）数据。筛选关键字 log in，找到一条logged in，前面密码为 administrator!@#，但是试了这个密码不对。全选后发现下面有东西，改一下字体颜色看看，没有发现什么，这里是隐藏字体...我之前是一直开着的后面重装了系统忘了开，就折腾了好久才找到。

但是$s2->word = $s1; 中 word 是私有变量，这里是调用不到的，链子顺序没有问题，修改代码访问私有变量。方法（1）通过使用 PHP 的反射机制访问和修改类的私有属性。原本是有一个工具 hashpump，但是我 git 的时候提示找不到仓库了，然后在 github 上找到了一个写好的 python脚本，叫做 hash-ext-attack：

在 URL 中，@ 符号前面的部分通常表示用户信息（例如用户名和密码），这种用法曾经用于需要在 URL 中嵌入用户名和密码的情况，但是由于安全原因，这种方式已逐渐被淘汰，现代浏览器大多不再支持直接从 URL 中提取用户名和密码进行身份验证。

(intval(substr($token, 1,1))+intval(substr($token, 14,1))+substr($token, 17,1))/substr($token, 1,1) === intval(substr($token, 31,1)) 将第 2、15 和 18 个字符转换为整数相加，再除以第 2 个字符的整数值，检查结果是否等于第 32 个字符的整数值；flag.ctf.show 页面无法访问（前面有一个查这个域名的 DNS 的 TXT信息的题也是有问题）

提取：\u606d\u559c\u60a8\uff0c\u60a8\u5df2\u88ab\u6211\u6821\u5f55\u53d6\uff0c\u4f60\u7684\u5b66\u53f7\u4e3a02015237 \u521d\u59cb\u5bc6\u7801\u4e3a\u8eab\u4efd\u8bc1\u53f7\u7801。可以注意到，这里的爆破位置恰好是身份证号的出生年月日的地方，年的话我们就从 1990 开始到 2024，月的话就是 00 到 12，日的话就是 01 到 31。

rand)){ ，需要为真才会执行后面输出 flag 的语句，因此 $rand 需要为 0 ，而 $rand = intval($r)-intval(mt_rand());特别注意，这里的 mt_rand()+mt_rand() 是第二次和第三次生成的随机数之和，因为前面已经使用过一次 mt_rand() 了。我们令 r=0，就可以得到 $rand = -intval(mt_rand())，只要设置了 r，就会 echo $rand;都是一样的种子，但是第一次和第二次生成的随机数结果是不一样的。

X探针：又名刘海探针、X-Prober，是一款由 INN STUDIO 原创主导开发的开源 PHP 探针，拥有美观简洁的界面、极高的运行效率和极低的资源占用，能高精度显示服务器的相应信息。php 探针：用来探测空间、服务器运行状况和 PHP 信息，探针可以实时查看服务器硬盘资源、内存占用、网卡流量、系统负载、服务器时间等信息。雅黑 php 探针：每秒更新，不用刷网页，适用于Linux系统，可以实时查看服务器硬盘资源、内存占用、网卡流量、系统负载、服务器时间等信息。

勇师傅还是想打 CTF。

给的 e 其实就是 d，只是结果是移位后的输出，n 很大无法分解，但 kk 与 rr 很小，由 rr= e//n 即可推出 rr 和 kk，又由 e + x + kk*p + rr*((p+1)* (q+1))+ 1 = 65537,将 × 设为 0 和 2^200 然后联立求解一元二次方程，就能求出 p, q 的上下界，这样就有p 和q 的高位，枚举未知位尝试coppersmith 直到分解出结果，最后代入求 e 和 d，进而求得flag。

我们可以在根目录下发现 flag 文件夹和 secret 文件夹，里面还包含了一层文件夹，但是这里过滤掉了连续的/，也就是说我们不能对两层目录直接操作，我们想要读取里面的文件，可以使用分号绕过，先 cd 到某个文件夹下再执行其他命令。这里的用户名就是 toor，密码是随机生成的 10 位数字，但是这里使用了弱等于，因此可以采用 php 弱类型比较绕过，true == 任何的非0随机数字：返回 true；拿到 flag{ThInk_cOnstantly_0f_There_w1ll_be_n0_echO}

连上，等它程序执行完你可以直接来到 shell 界面执行命令，获取 flag。

它是 JSON Web Token 的缩写，是一个开放标准，定义了一种紧凑的、自包含的方式，用于作为JSON对象在各方之间安全地传输信息，该信息可以被验证和信任，因为它是数字签名的。它就是一种认证机制，让后台知道该请求是来自于受信的客户端。jwt 由三部分组成，它们之间用圆点(.)连接，这三部分分别是：Header、Payload、Signature。回到最初请求的 login ， post 传入 json 格式的 tooken。回显得到一个 token ，也是 json 的格式。

有时候由于网站功能需求，会让前端用户选择要包含的文件，而开发人员又没有对要包含的文件进行安全考虑，就导致攻击者可以通过修改文件的位置来让后台执行任意文件，从而导致文件包含漏洞。可以访问请求的原始数据的只读流，将post请求的数据当作 php 代码执行，当传入的参数作为文件名打开时，可以将参数设为php://input，同时 post 写入想要执行的 php 代码，php 执行时会将 post 内容当作文件内容，从而导致任意代码执行。__wakeup() //执行unserialize()时触发 ​。