- 博客(105)
- 收藏
- 关注
RSS订阅原创 预备-刷题记录二
首先打开题目得到:分析代码发现第一个判断语句过滤了字母数字和一些字符,就可以考虑用取反,异化来绕过第二个判断限定了只能用函数的方式,并且函数里面不能有参数,例如:system() 或者 system(fun())能过判断所有是无参数,REC首先可以想到用php中的函数getallheaders()获取请求头current()获取第一键值。
2023-03-29 23:31:39
1248
1
原创 NSSCTF-Web刷题记录一
通过题目分析要去查看flag.php内容,进行实现,所以以Try_Work_Hard为链子低端进行分析首先要利用的是include函数,但需要用__invoke方法来调用__invoke的触发条件是:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用所以我们要找一个可以被控制且被调用的函数给它赋值Try_Work_Hard对象该类中在__get()方法可以实现这一功能,但__get()方法的触发需要:从不可访问的属性读取数据。
2023-03-11 19:51:14
1277
1
原创 [NCTF2019]SQLi 1®exp注入
发现为ture时返回Location: welcome.php。随便输入一个用户,用admin的密码登陆得到flag。并且当密码和admin密码相同时就能得到flag。可以利用bool盲注进行注入,爆破passwd。发现没有过滤 " 和 \。
2022-10-03 13:09:50
1294
原创 利用Vulhub复现log4j漏洞CVE-2021-44228
这里的命令是想要靶机运行的命令,-A后放的是发出攻击的电脑的ip,也是存放-C后“命令”的ip地址。可以利用http://www.dnslog.cn/ 申请一个dns域名进行检测。接下来要实现反弹shell,可以用命令。
2022-10-02 11:21:05
736
原创 [CISCN2019 华北赛区 Day1 Web1]Dropbox 1
phar文件的表示,类似于gif文件的GIF89a,以 xxx为固定形式,前面内容可以变,点必须以__HALT__COMPILER();?>结尾。该部分是phar文件中被压缩的文件的一些信息,其中meta-data部分的信息会被序列化,即执行serialize()函数,而phar://就相当于对这部分的内容进行反序列化,此处也正是漏洞点所在。这部分存储的是文件的内容,在没有其它特殊要求的情况下,这里面的内容不做约束。数字签名。放在最末。1、phar文件可上传。
2022-10-01 13:52:18
961
原创 [CISCN2019 华北赛区 Day1 Web2]ikun
发现源码会尝试执行POST一个become的值,做为Pickle反序列化的字符。我们可以利用Pickle反序列化构造命令执行。通过python脚本找到lv6。下载发现是Pickle反序列化。找到lv6在181的页面。爆破出来为: 1Kun。
2022-09-30 21:24:13
499
2
原创 [MRCTF2020]套娃
有判断IP要等于127.0.0.1,并且测试只有:CLIENT-IP: 127.0.0.1。并且2333传递的内容要用todat is a happy day。进行代码分析,发现对查询的字符进行过滤有,_和%5f就die。所以我们读取的flag.php要通过加密在解密。而且file读取文件是通过change解密的。然后利用 空格,.,%5F代替下划线代替。并且还要绕过23333的检测。查看源码得到flag。
2022-09-30 14:57:58
429
原创 记一次phpcms9.6.3漏洞利用getshell到内网域控
首现利用nmap扫描网段收集到主机ip地址:扫描主机信息:发现是win7的操作系统和开放80端口直接访问网站:得到:扫描目录发现管理员登陆:得到:弱口令:admin admin12345phpcms9.6.3后台getshell的洞网上有很多可以参考这篇博客:https://blog.csdn.net/weixin_42433470/article/details/112409431我这里利用的是:用户->管理员模块->添加会员模型得到shell:用蚁剑连接shell然后利用cs上线:利用的模块
2022-06-25 20:52:19
2468
原创 [极客大挑战 2019]RCE ME 1
首先打开题目得到:发现是代码审计传入的code不能大于40并且不能包含a到z的大小写字符和1到10的数字我们可以通过不在这个字符集里的字符进行绕过可以采用异或和取反这里我采用取反,绕过执行phpinfo();playload:执行:发现对一些行数进行控制:写一句话:在这里,我们不能直接使用eval 因为 eval并不是php函数 所以为我们无法通过变量函数的方法进行调用。在这里,我们使用 assert 来构造,但由于php版本问题,我们并不能直接构造...
2022-06-24 00:02:58
2832
2
原创 [BSidesCF 2019]Kookie 1
首先打开题目得到:提示用admin用户登录尝试弱口令发现,登录失败有发现说cookie,就尝试用cookie登录:f12编辑添加cookie重发包:Cookie:username=admin用admin登录成功得到flag:
2022-06-23 22:59:59
589
原创 [CISCN 2019 初赛]Love Math 1
首先打开题目发现是代码审计:发现我们要利用的地方是:发现content的内容要小于80并且用的函数是白名单:这里用到一个函数:base_convert()这样我们就可以利用base_convert()获取所有的小写字符用phpinfo实验一下发现命令执行成功现在要进一步执行命令可以利用base_convert()生成hex2bin()函数hex2bin()函数可以把16进制转成字符这样就可以构造_GET请求来绕过限制但是直接传16进制会被die,所以利用dechex()传10进制首先得到_
2022-06-04 01:39:28
789
1
原创 [ASIS 2019]Unicorn shop 1
打开题目发现:经过各种测试发现没有注入但发现只能输入一个字符并且只有第四个才会报出钱不够只能用一个字符可以用:unicode:一个查找unicode字符的网站:unicode搜索一千的英文:找到大于商品的价格的字符:值:0xE2 0x86 0x82因为是utf-8把0x换为%为:%E2%86%82得到flag发现大佬的方法直接用中文的大于1337.0的一个字符:万、亿都可以购买:参考博客:https://blog.csdn.net/qq_41891666/article/details
2022-06-03 21:18:48
290
原创 [安洵杯 2019]easy_serialize_php 1
首先打开题目根据提示得到源码:对代码进行审计发现我们能利用的点就是:这文件读取,但我们要读什么呢?根据提示看一下phpinfo发现可以读取的文件:回到源码继续审计,要利用文件读取必修绕过这个是在extract()对数组赋值之后进行的赋值我们传入$_SESSION数组可以覆盖前面的值但是不能覆盖这里img的值发现有过滤字符替换为空:可以利用字符逃逸首先构造数组反序列化:可以看到,我们要把function的值溢出来作为数组的值,就可以通过user的值的长度来把:";s:8:“function
2022-06-03 20:38:12
534
原创 [WUSTCTF2020]朴实无华 1
首先打开题目得到:扫描目录发现有robots.txt文件访问:访问:发现是假的:查看消息头发现:访问发现是代码审计:乱码但是可以调整编码:得到:进行代码审计:发现有system($get_flag);执行命令但要绕过条件第一个要绕过:intval($num) < 2020 && intval($num + 1) > 2021可以利用科学计算法来绕过:num=55e4intval()返回字符前的数字,就是55小于2020但有运算时把科学计算55e4转化为550000+1=550001,大于202
2022-06-03 00:31:24
319
原创 [BJDCTF2020]Mark loves cat 1
[BJDCTF2020]Mark loves cat 1首先打开题目得到:在网站没有什么发现就扫描一下网站得到:发现有git泄露得到:python2 GitHack.py http://d972792b-613b-488a-af59-f5f8214096e2.node4.buuoj.cn:81/.git/得到源码:首先通过代码审计发现如果直接绕开去echo $flag的话在绕过isset()的时候会覆盖flag,输出变量就是空得不到flag方法一利用exit($handso
2022-05-28 21:45:47
250
原创 [BJDCTF2020]Cookie is so stable 1
[BJDCTF2020]Cookie is so stable 1首先打开题目发现是一个登陆框:经过测试发现有ssti注入:然后是检测ssti注入类型:模板注入漏洞:可以参考:一篇文章带你理解漏洞之SSTI漏洞在测试一下{{7*‘7’}}发现是:输入{{7*‘7’}},返回49表示是 Twig 模块输入{{7*‘7’}},返回7777777表示是 Jinja2 模块所以判断是Twig根据提示是cookie,于是登陆后抓个包得到:在cookie的user处有注入应为确定
2022-05-28 20:20:57
408
原创 [BSidesCF 2020]Had a bad day 1
[BSidesCF 2020]Had a bad day 1首先打开题目得到:通过测试发现在url处有:疑似文件包含尝试:../../../../etc/password得到:所以绕过这个限制?category=woofers/../../../../etc/password发现报错了于是就用php伪协议试试读取index.php解码得到php源码:<?php $file = $_GET['category']; if(isset($file))
2022-05-27 22:45:40
179
原创 Java逆向解密
Java逆向解密首先得到一个:.class文件是java编译后的文件利用jd-gui打开通过对源码的分析写出对key进行 -64^0x20就可以得到flag:key =[180, 136, 137, 147, 191, 137, 147, 191, 148, 136,133, 191, 134, 140, 129, 135, 191,65]str = ''for i in range(len(key)): inter = key[i] - 64 ^ 32 str +=
2022-05-13 03:15:24
1134
原创 [0CTF 2016]piapiapia 1
[0CTF 2016]piapiapia首先打开题目得到登陆页面:通过扫描,发现信息泄露:www.zip查看源码发现有这几个页面:有注册页面而在index.php中引入了class.php页面有一个filter做过滤:并且在update页面发现序列化函数在profile页面发现反序列化:有file_get_contents函数可以读取文件有发现config.php里面有重要信息:但flag没有出来根据 上面的代码思路要利用,要传一个photo来做文件名读取文件但是:值被
2022-05-13 03:06:02
480
原创 [极客大挑战 2019]FinalSQL 1
[极客大挑战 2019]FinalSQL 1首先打开题目,发现是一个sql注入:寻找注入点发现注入点在:发现是一个盲注,且过滤了and和空格等并且直接盲注比较慢,还需要利用二分法来编写脚本大佬脚本:import requestsurl = "http://b4d7330a-4880-41c4-a20c-3dae55d11c37.node4.buuoj.cn:81/search.php"flag = ''def payload(i, j): sql = "1^(ord(
2022-04-30 05:31:23
1842
原创 sqli-lab 51-65
Less-51:首先打开题目测试发现是’闭合,并且能报错和Less-47一样直接报错注入1' and updatexml(1,concat(0x7e,(select group_concat(username) from users),0x7e),1)-- dsa获取username的值:Less-52:发现能打堆叠注入:插入数据:?sort=1;insert into users(id,username,password) values('17','hack','123456')-- d
2022-04-27 00:28:19
133
原创 [CISCN2019 华东南赛区]Web11 1
[CISCN2019 华东南赛区]Web11 1首先打开题目发现:提示XFF,且发现右上角的127.0.0.1是我做的X-Forwaded-For的代理所以对X-Forwaded-For进行各种注入尝试发现是php的ssti的注入:所以执行命令获取flag:
2022-04-23 19:40:10
1899
原创 sqli-lab 31-50
Less-31:Less-31和Less-30一样在index.php页面没有防护是")闭合直接打:在login.php页面有防护和Less-30一样利用参数污染攻击:-1") union select 1,2,(select group_concat(username) from users)-- ad获取username值:Less-32:打开题目发现题目提示:我们输入的字符查询将被转义,并且给出了id值的十六进制:这就容易让我们想到宽字节注入具体看这篇博客:htt
2022-04-19 01:53:58
2656
原创 DC-1靶机渗透
简介靶机名称:DC1下载地址:https://www.vulnhub.com/entry/dc-1-1,292/一、信息收集利用nmap扫描发现主机:nmap -sP 192.168.229.0/24获取主机为:192.168.229.180收集主机端口和其它信息:nmap -sS -sV -T5 -A -p- 192.168.229.180 发现开发22端口和80端口,并且运行在Linux上二、漏洞查找发现有80端口直接访问得到:发现是cms是drupal,用msf看一
2022-04-17 02:45:50
1144
原创 [NPUCTF2020]ReadlezPHP 1
[NPUCTF2020]ReadlezPHP 1首先打开题目,通过查看源码发现:发现time.php页面访问得到:请求source看看得到:得到源码:<?php#error_reporting(0);class HelloPhp{ public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "d
2022-04-16 02:29:37
656
原创 [MRCTF2020]Ezpop 1
[MRCTF2020]Ezpop 1首先打开题目得到:对源码进行分析: <?php//flag is in flag.php//WTF IS THIS?//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95//And Crack It!class Modifier { protected
2022-04-16 01:37:52
1579
原创 [MRCTF2020]PYWebsite 1
[MRCTF2020]PYWebsite 1这题比较简单打开题目:查看源码发现:访问flag.php得到:查看源码发现flag:就发现有flag后面发现原来我一直开着:X-Forwarded-For为127.0.0.1它真正的目的也就是用X-Forwarded-For进行id欺骗...
2022-04-16 00:22:40
1180
1
原创 [SWPU2019]Web1
[SWPU2019]Web1首先打开题目发现是一个登陆界面,尝试sql注入没有效果发现可以注册就随便注册一个用户登陆发现有一个广告申请发布对这个广告申请发布进行各种注入攻击,发现有sql注入点击广告详情发现sql语句报错:就住它进行注入发现有过滤:然后测试发现:过滤了空格,or,and,注释,updatexml,extractvalue所以我们采用union注入,空格用/**/代替,注释采取单引号闭合因为过滤了or所有我们采用:1'/**/group/**/by/**/1,'1
2022-04-15 23:17:42
618
原创 [网鼎杯 2020 朱雀组]Nmap 1
[网鼎杯 2020 朱雀组]Nmap 1首先得到题目打开得到说是输入houst和IP进行扫描测试一波:127.0.0.1得到:本地测一下nmap 命令得到:发现效果一样这里需要知道nmap 命令将扫描结果保存在文件里面:例如:将nmap 127.0.0.1的结果保存在test.txt里面nmap 127.0.0.1 -oN test.txtnmap其他写文件命令:-oN (标准输出)-oX (XML输出)-oS (ScRipT KIdd|3 oUTpuT)-oG (G
2022-04-15 20:24:07
2204
原创 Sqli-lab16到30
Less-16打开题目得到:尝试注入得到注入语句:1") or 1=1#并且发现不会有报错回显基本确定是bool盲注:没有过滤直接上sqlmap一把索首先报出数据库名:sqlmap -r "request.txt" -p "uname" -dbs mysql 获取表名sqlmap -r "request.txt" -p "uname" -D security --tables mysql获取user字段:sqlmap -r "request.txt" -p "uname"
2022-04-14 22:16:00
711
3
原创 VulnHub靶机_MOMENTUM: 1
信息收集扫描IPnmap -sP 192.168.229.0/24获取靶机信息nmap -sS -sV -T5 -A -p- 192.168.229.179发现开启22端口和80端口访问80端口得到:查找漏洞通常查看源码访问main.js有有用信息:首先是:opus-details.php?id="+str是一个php页面,在url访问看看能不能访问得到:发现能成功访问,请求参数得到:发现是一个XSS漏洞XSS漏洞试试能不能获取cookie:playloa
2022-04-09 21:00:04
102
原创 [WesternCTF2018]shrine 1
[WesternCTF2018]shrine 1首先打开题目得到:是python的flash框架得到源码:import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') def shrine(s
2022-04-08 21:05:29
1967
原创 [安洵杯 2019]easy_web 1
首先打开题目得到:发现url有所不同:img为base64加密,解码后发现还是base64,继续解码,然后是16进制在解码得到:发现img可能存在文件包含漏洞:将index.php按照加密方法加密请求得到:发现base64编码解码,得到发现是index.php源码<?phperror_reporting(E_ALL || ~ E_NOTICE);header('content-type:text/html;charset=utf-8');$cmd = $_GET['cm
2022-04-08 20:46:04
1656
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人