- 博客(21)
- 收藏
- 关注
RSS订阅原创 Web259
但是仅仅依靠这一处,没有办法伪造整一个POST请求,因为Content-Type是xml形式的,并且后面的传输内容也都是xml形式的,一般情况下POST传递参数的格式都是表单形式的(application/x-www-form-urlencoded)后面题目界面给的源码,里面要求ip=127.0.0.1,他又开启了xff,想改包发包来着,他又进行了两次pop,还要token的值==ctfshow,结合这些,基本上可以确定用SoapClient原生类。如果数组是空的,或者非数组,将返回 NULL。
2023-10-30 09:41:40
172
1
原创 [天翼杯 2021]esay_eval
用蚁剑连上,发现有vim缓存泄露,用vim恢复后发现这个题用了redis,然后利用redis进行RCE。
2023-10-30 09:30:44
110
1
原创 NepCTF2023--部分wp
下载拿到piano.bin,是个音频文件,拉进Audacity看一下,发现有频谱,通过放大缩小频谱发现有字符串,将字符串抄写下来,钱一部分是摩斯密码,后部分是16进制。去搜Atsuko Kagari”,发现为小魔女学园动漫女主角,去看了动漫,发现里面有着文字,新月文字和古龙语,去上网找解释。这道题就是个游戏,就是自己和机器人下棋,你自己先先连出来42和5子棋就可得到flag,不想在复现一遍了。题目说是一种很老的cve,题目又是java-checkin,上网搜,找到一个跟java有关得cve。
2023-08-14 16:17:06
400
原创 2023巅峰极客 unserialize wp
前面逃逸出来的这些字符已经变成username串中的一部分了,我们在pwd中也需要加入这些进行闭合(这里的%00我们不能直接这么写,需要编码后才为%00,所以我们可以先写成\000,这个是8进制的写法,然后编码之后就能转为%00,但是在php中需要使用双引号才能识别\000)O:7:“push_it”:2:{s:13:“%00push_it%00root”;
2023-08-10 19:31:39
240
1
原创 PHP反序列化字符串逃逸
PHP序列化:serialize()序列化是将变量或对象转换成字符串的过程,用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。而PHP反序列化:unserialize()反序列化是将字符串转换成变量或对象的过程通过序列化与反序列化我们可以很方便的在PHP中进行对象的传递。本质上反序列化是没有危害的。但是如果用户对数据可控那就可以利用反序列化构造payload攻击。
2023-08-06 19:02:11
233
1
原创 [SWPUCTF 2022 新生赛]ez_1zpop
可以利用这个,将a的值提前写好为system,title为ls cat flag啥的。梳理下来,就是construct->to_string->destruct。在it类中触发__wake up,会返回到一个没有用的类里,要绕过一下。$b就会被赋值为system,内容为ls。最终playload。
2023-08-04 20:45:36
276
1
原创 [HNCTF 2022 WEEK2]ez_ssrf
这段代码接受通过 GET 请求传递的参数,并使用函数建立与指定主机和端口的 socket 连接。然后,它将传入的 base64 编码的数据解码,并将数据写入到连接的 socket 中。接下来,在循环中,它从连接中读取返回的响应数据,并将其输出到浏览器。建议对该代码进行改进和增强,以提高安全性和代码可靠性。**函数是用于建立一个 socket 连接。
2023-07-12 20:19:31
702
1
原创 SSTI练习 web361--web372
我一步一步试了试,过滤了几个数字2,3等,正好把我可用的os模块没法用了,上网看了好多大佬们的wp可以用全角数字来代替正常数字。这里要提醒我自己一下,这里到用到use_for,自己在哪里拼了半天就是不对。要寄漏,原来过了单双引号啊,当然要用老方法了,request拼接。用subprocess.Popen(),也不行。这题开始过滤了,过了啥,上一题大佬的脚本仍然可以用。哈哈哈,终于到了{}了,直接{%%}+print。加了args过滤,用cookie就好了。上一题全角数字的不能用了。
2023-06-15 22:01:42
210
2
原创 PHP特性 web137-151
call_user_func()函数的使用[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fJFdHUEG-1686660380752)(D:\本地文本记录\Untitled.assets\image-20230613192835577.png)]
2023-06-13 20:46:34
45
1
原创 ctfshow--web入门(web101--web115&web123&web125-web133)
v2$v3反射,通俗来讲就是可以通过一个对象来获取所属类的具体内容,php中内置了强大的反射API:ReflectionClass:一个反射类,功能十分强大,内置了各种获取类信息的方法,创建方式为new ReflectionClass(str 类名),可以用echo new ReflectionClass(‘className’)打印类的信息。ReflectionObject:另一个反射类,创建方式为new ReflectionObject(对象名)。
2023-06-08 21:19:39
973
2
原创 ctfshow--web入门(web89-100)
else {} }highlight_file()函数:将文本信息高亮显示,识别里面的关键字,然后加入css的一个样式,混合起来进行输出要传入一个u弱类型比较与flag.php,要绕过,可以在前面加入一些,文件路径(var/www/html),绝对路径(./)playload :?u = / var / www / html / flag . php或者?
2023-06-03 20:00:58
373
2
原创 CTFshow(web21-web28)
提示:从 PHP 4.2.0 开始,随机数生成器自动播种,因此没有必要使用该函数 因此不需要播种,并且如果设置了 seed参数 生成的随机数就是伪随机数,意思就是每次生成的随机数 是一样的。自定义迭代器可以自定义拼接方式,position的位置即为我们的拼接方式,根据上述base64解码的tomcat密码的格式:用户名:密码 ----->则position的位数为3。Payload set ---->custom iterator(自定义迭代器)------>position 3------>输入字典。
2023-05-26 19:13:26
300
1
原创 ctfshow--web入门(web1-web20)
mdb文件是早期asp+access构架的数据库文件 直接查看url路径添加/db/db.mdb 下载文件通过txt打开或者通过EasyAccess.exe打开搜索flag flag{ctfshow_old_database}考察vim缓存信息泄露,直接访问url/index.php.swp 注:上面的信息泄露可以参考。在进入/admin/,要登录密码,提示说密码在页面最下方,最下方有个电话号码372619038。考察git代码泄露,直接访问url/.git/index.php。查看源代码,发现flag。
2023-05-20 21:31:29
289
原创 SQL注入学习(一)
*SQL注入(SQL Injection)**是一种常见的Web安全漏洞,形成的主要原因是web应用程序在接收相关数据参数时未做好过滤,将其直接带入到数据库中查询,导致攻击者可以拼接执行构造的SQL语句。那什么是SQL了?结构化查询语言(Structured Query Language,缩写:SQL),是一种关系型数据库查询的标准编程语言,用于存取数据以及查询、更新、删除和管理关系型数据库(即SQL是一种数据库查询语言)
2023-05-20 20:50:10
102
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人