ctfWP
文章平均质量分 52
4pri1
这个作者很懒,什么都没留下…
展开
-
[网鼎杯 2020 白虎组]PicDown
查看源代码,发现一个接口,直接去访问了这个接口,参数设置为某个网址,会下载源码,这里丢到bp测试发现有任意文件读取,直接获得flag找了一下其他师傅的wp,发现这个题其实是出题人的失误造成了任意文件读取,又按照官方wp的思路做了一下这是flask框架写的,试着读了一下main.py,没东西看一位师傅写的 可以读这个/proc/self/cmdline看运行了什么查了一下/proc/self/cmdline是以python 运行的app.py然后发现在app....原创 2021-08-07 03:34:57 · 242 阅读 · 1 评论 -
[CISCN2019 总决赛 Day2 Web1]Easyweb
[CISCN2019 总决赛 Day2 Web1]Easyweb查看rebots.txt,发现然后结合抓包,只有image.php.bak存在,下载源码经过审计url/image.php?id=\\0&path= or 1=1 %23用这个可以绕过,然后只需要改1=1部分的内容,在这里修改成sql语句,由于没有回显,所以选择盲注的方式根据盲注内容写出脚本根据盲注内容写出脚本import requestsurl = "http:...原创 2021-07-31 21:24:21 · 672 阅读 · 1 评论 -
[CISCN2019 华北赛区 Day1 Web5]CyberPunk
[CISCN2019 华北赛区 Day1 Web5]CyberPunk想试一试伪协议写一句话木马,未果php伪协议读取源码http://5418f9f5-c929-42f3-9a4f-6e81a686a6a4.node4.buuoj.cn/?file=php://filter/convert.base64-encode/resource=index.phpindex.php<?phpini_set('open_basedir', '/var/...原创 2021-07-31 21:22:07 · 169 阅读 · 0 评论 -
[FBCTF2019]RCEService
[FBCTF2019]RCEService一看就是很标准的rce题的模样,要求用json传递,查看页面源代码发现参数是cmd构造ls的json,然后回显了当前目录下的文件,发现只有一个index.php看到有的师傅wp里写的直接看源码审计,这里其实就是先构造,审计了index.php的源码,然后发现了环境变量,进而找到flag的位置看页面源码的payload:http://902101f5-7939-4cb4-a4df-683f733545d7.node4.buuoj..原创 2021-07-29 04:02:27 · 489 阅读 · 1 评论 -
[BSidesCF 2019]Kookie
考察cookie免密登录原创 2021-07-28 10:48:19 · 117 阅读 · 0 评论 -
[GWCTF 2019]枯燥的抽奖
这个题是一个php伪随机数漏洞参考文章:https://www.cnblogs.com/zaqzzz/p/9997855.html打开后在页面源代码ajax有一个传参可以看到check.phpcheck。php有源码,看到随机种子,应该利用随机种x先用脚本将伪随机数转换成php_mt_seed可以识别的数据str1='abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'str2='NoPYloluCE'st.原创 2021-07-24 00:11:53 · 75 阅读 · 0 评论 -
BUUCTF [MRCTF2020]套娃
BUUCTF [MRCTF2020]套娃 != 与!== 和== ===对应 1,http://localhost/aaa/ (打开aaa中的index.php) 结果: $_SERVER['QUERY_STRING'] = ""; $_SERVER['REQUEST_URI']= "/aaa/"; $_SERVER['SCRIPT_NAME']= "/aaa/index.php"; $_SERVER['PHP_SELF']= "/aaa/in...原创 2021-07-22 21:58:36 · 362 阅读 · 1 评论 -
[CISCN2019 华北赛区 Day1 Web2]ikun
[CISCN2019 华北赛区 Day1 Web2]ikun本题:电商平台逻辑漏洞+JWT伪造+python pickle反序列化 三个没用过的知识点…先注册这里提示要lv6可以翻页,翻页后发现时在url中get传参页数等级牌lv2对应的就是lv2所以只要找lv6就可以了,可以用python写一个脚本来访问,检测返回的html中是否包含lv6.pngimport requestsurl="http://fa909550-df79-40db-b45e-1e6912103ebe.node原创 2021-07-21 01:27:00 · 766 阅读 · 0 评论 -
被嗅探的流量--buuctf
打开的样子搜索一下flag结束战斗原创 2021-07-20 17:10:45 · 117 阅读 · 0 评论 -
pikachu靶场打靶
暴力破解基于表单的暴力破解bp抓包,然后爆破,验证码绕过(on server)抓包,审计一下源码:发现当验证码输入正确的时候,即使密码输入错误,也不会刷新验证码,导致一个验证码反复提交。直接爆破就行了验证码绕过(on clicent)这个的弹窗可以知道是前端js的作用,当弹窗的时候bp也是抓不到数据包的。纯前端验证码,形同虚设,直接绕过前端用bp爆破即可。token防爆破?这个比较考验bp的操作,试了好多次终于ok代理——>sent to intruder——原创 2021-07-16 22:12:41 · 345 阅读 · 1 评论 -
[RoarCTF2019]forensic(内存取证)
volatility基本思路:先看看操作系统,然后查一下进程和内存信息,把可能有问题的dump出来,然后借助linux本身的一些工具分析。首先用 volatility -f ./mem.raw imageinfo 查看系统信息这里重点关注 Suggest Profiles 和 data and time然后看一下进程信息volatility -f ./mem.raw pslist --profile=Win7SP1x86这四个进程对应的是最可能存在问题的用户创建...原创 2021-05-25 17:53:29 · 1776 阅读 · 6 评论 -
[ASIS 2019]Unicorn shop
[ASIS 2019]Unicorn shop这个题有种小丑竟是我自己的感觉让你买马。但是又限制了只能输入单个字符,所以就要用数大于1337的单个字符了https://www.compart.com/en/unicode搜索thousand 然后注意看这个,大于1337就可以...原创 2021-05-24 17:04:45 · 84 阅读 · 0 评论 -
[BSidesCF 2020]Had a bad day
[BSidesCF 2020]Had a bad dayhttps://github.com/BSidesSF/ctf-2020-release/点击两个按钮,url栏的category= 会发生变化这里是伪协议的知识点:——摘自:https://blog.csdn.net/weixin_44508748/article/details/108162951.本题用到的就是filter这个伪协议所以构造url:http://97621188-63ea-4882-...原创 2021-05-24 16:42:14 · 613 阅读 · 0 评论 -
[网鼎杯 2020 朱雀组]phpweb
[网鼎杯 2020 朱雀组]phpwebbp抓包,发现会定期发送一个带有时间戳的包.尝试更改func和p的键值,当func=file_get_contents&p=index.php会出现正确的回显,有源码。把源码赋值出审计<?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","e原创 2021-05-18 00:41:20 · 175 阅读 · 7 评论 -
[GXYCTF2019]禁止套娃
用dirsearch扫,太频繁,直接被封了,考虑用githack扫描后,得到index.php,进到2ce5746。。。。里查看一下源码然后考虑一下绕过的问题。过滤了几个伪协议,不能用伪协议读取,(?R)引用当前表达式,后面加了?递归调用。只能匹配通过无参数的函数。正则匹配掉了et/na/info等关键字,很多函数都用不了。eval($_GET['exp']); 典型的无参数RCE/[^\W]+\((?R)?\)/ 典型...原创 2021-05-17 20:10:54 · 144 阅读 · 2 评论 -
[RoarCTF 2019]Easy Java
[RoarCTF 2019]Easy Java本题考察WEB-INF/web.xml泄露点这里bp抓包,然后把请求头改成 post原来这样变成这样 只修改了get然后放包,就有了文件下载。打开后,不愧是 help.docx没什么用send to repeater 然后把filename参数改一下,看一下WEB-INF/web.xml已经拿到FlagController了,去找一下对应的class?filename=WEB-INF/classes/com/wm/ctf/F原创 2021-05-08 23:59:47 · 105 阅读 · 0 评论 -
[BUUCTF 2018]Online Tool
[BUUCTF 2018]Online Tool$_SERVER是php中一个超全局变量,是包含了头信息、路径、脚本位置等信息的一个数组;其实第一个if不用绕,没用。整体看一下,先绕过一系列的东西,然后执行了nmap的命令,其中host是传入的参数,这里应该是注入点。关于nmap查了一下,nmap存在一个参数 -oG 可以写入一个文件。nmap <?php phpinfo();?> -oG phpinfo.php; 这样所以大体思路是绕过然后,用nmap的-oG命令写原创 2021-05-08 21:09:14 · 85 阅读 · 0 评论 -
linux labs(水文)
linux labs(水文)linux labs(水文)linux labs(水文)简单的离谱。。。ssh root@node3.buuoj.cn -p 28628\ls …/cat …/flag.txtflag{4d324748-835a-4165-921d-17dbefd80079}水文 +1原创 2021-03-15 19:56:54 · 2049 阅读 · 0 评论 -
攻防世界ext3
攻防世界ext3攻防世界ext3攻防世界ext3下载文件,拖到kali里,mount 挂载mount ./f1fc23f5c743425d9e0073887c846d23 /mnt/搜索一下flagfind “flag” /mnt/ |grep “flag”vim /mnt/O7avZhikgKgbF/flag.txt查看base64解码flag{sajbcibzskjjcnbhsbvcjbjszcszbkzj}...原创 2021-03-15 19:56:22 · 156 阅读 · 0 评论 -
功夫再高也怕菜刀(比较好玩)
考点:wireshark数据包分析 binwalk和010edator的文件分离功夫再高也怕菜刀考点:wireshark数据包分析 binwalk和010edator的文件分离下载附件,拖到kali,发现是一个pcapng的wireshark数据包文件拖到wireshark里直接搜索flag定位到很多数据包,挨个查看一下,根据题目提示和数据包的内容,这是个对菜刀进行的流量捕获出题人应该是先 apt-get update做了一堆混淆的数据包,然后用菜刀下了.原创 2021-03-15 19:55:39 · 203 阅读 · 0 评论 -
2019NiZhuanSiWei
考点:php伪协议、2019]NiZhuanSiWei考点:php伪协议、打开后是源码,拖到vscode里审计第一个绕过点:if(isset(text,‘r’)===“welcome to the zjctf”))可以用data://写入协议所以第一个payload: ?text=data://text/plain,welcome to the zjctf接着审计,第二个绕过的地方是,这里会正则匹配flagif(preg_match("/fla.原创 2021-03-15 19:54:35 · 115 阅读 · 0 评论 -
BJDCTF2020Easy MD5
考点:sql注入(万能密码) 数组绕过md5 md5碰撞[BJDCTF2020]Easy MD5考点:sql注入(万能密码) 数组绕过md5 md5碰撞只有一个输入框和提交在响应头处找到提示信息查一下md5函数的用法所以sql语句是把密码用16字符二进制比对,试着构造一个万能密码如果通过md5之后返回字符串是’or 1的话,形成一个永真条件,select * from ‘admin’ where password=’ 'or ‘6…’这个.原创 2021-03-15 19:53:49 · 229 阅读 · 0 评论 -
HCTF 2018admin ——flask session伪造unicode伪造
[HCTF 2018]admin ——flask session伪造||unicode伪造猜测要么从url栏,要么从注册登录部分注入猜admin的密码 123,对了本题结束。如果按照完整解这个题查看源代码,发现新提示其余没有提示,先注册账号并登录更新了新的change password 和post页面在change password发现新提示注册从bp抓包入手admin不能注册但是发现报文里有session所以不原创 2021-02-10 17:24:29 · 352 阅读 · 1 评论 -
极客大挑战 2019BabySQL(手动sql注入)
[极客大挑战 2019]BabySQL,熟悉的界面,这个题的第三次变体了吧[极客大挑战 2019]BabySQL(手动sql注入)[极客大挑战 2019]BabySQL,熟悉的界面,这个题的第三次变体了吧试一下万能密码本来打算直接抓包的,看到一位师傅,直接给双写绕过了,试了试果然有用(还把+给过滤了1=1–+用不了了)接下来和原来的操作基本一样,继续手动注入【别忘了双写绕过!】按照2019lovesql那个的完全一样,再试一遍用order by或者union .原创 2021-02-06 19:05:45 · 909 阅读 · 0 评论 -
RoarCTF 2019Easy Calc表达式注入
[RoarCTF 2019]Easy Calc表达式注入 - 幕布接着发现了api的接口地点calc.php和get的参数直接url后面加上calc.php显示了一部分源码可以发现过滤了很多的东西,并且计算器的页面上是只允许输入数字的,所以可以用带空格的数字绕过(用? num代替?num)scandir("/")扫一下根目录,"/"被waf过滤了,单双引号也被过滤了。? num=var_dump(scandir(chr(47)))?num=file_get_co原创 2021-02-06 16:45:01 · 301 阅读 · 0 评论 -
极客大挑战 2019Http
[极客大挑战 2019]Http在页面源代码中找到线索进入后,这是要改referer的,可以用hackbar,也可以用bp,我选择了后者设置好代理,开启拦截,刷新,sent to repeater,关闭拦截加一个refererreferer:https://www.Sycsecret.com【注意报文行末加回车!!!】否则就是这样看接下来提示,换浏览器把报文的这个改成Syclover browser..原创 2021-02-05 16:06:48 · 150 阅读 · 0 评论 -
ACTF2020 新生赛Exec
[ACTF2020 新生赛]Exec[ACTF2020 新生赛]Exec127.0.0.1 127.0.0.1;ls127.0.0.1;cat index.php检查页面源代码发现index的php源码127.0.0.1;cd /;ls127.0.0.1;cat /flag以上内容整理于 幕布文档原创 2021-02-05 14:18:12 · 121 阅读 · 0 评论 -
[ACTF2020 新生赛]Exec
[ACTF2020 新生赛]Exec● [ACTF2020 新生赛]Exec● 127.0.0.1 127.0.0.1;ls● 127.0.0.1;cat index.php● 检查页面源代码发现index的php源码● 127.0.0.1;cd /;ls● 127.0.0.1;cat /flag原创 2021-02-05 14:14:32 · 83 阅读 · 0 评论 -
[极客大挑战 2019]LoveSQL
[极客大挑战 2019]LoveSQL[极客大挑战 2019]LoveSQL用户名:admin’ or 1=1#密码:随便填试了一下password不是flag试一试手动sql注入order by查询字段数● http://6ea270a7-969e-4710-b876-655dc6b7413d.node3.buuoj.cn/check.php?username=admin'order by 3%23&password=53819ac89afb26原创 2021-02-05 14:10:44 · 87 阅读 · 0 评论 -
[强网杯 2019]随便注1
[强网杯 2019]随便注1打开后的样子法一:重命名+堆叠注入:可以执行任意sql语句堆叠注入原理:在sql中,分号表示一条语句的结束。如果在分号的后面再加一条语句,这条语句也可以被执行,继续加一个分号和一条语句,这样就可以在一次数据库的调用中执行多个语句。但是堆叠注入大多时候不可用利用 or 1=1–+列举所以数据**?inject=1’or 1=1;–+**查看一下表**?inject=1’;show tables;–+**有两个表,分别查看一下原创 2021-02-05 11:34:44 · 165 阅读 · 0 评论 -
[极客大挑战 2019]PHP
[极客大挑战 2019]PHP打开后,按照提示找备份文件用御剑没扫到东西,换个工具dirsearch找到备份文件在url栏构造下载http://f0ff483f-62c5-4bf6-9e34-5e02147967e0.node3.buuoj.cn/www.zip解压文件,查看flag,假的。。审计一下这几个的代码吧flag.php里的$flag 给了个值Syc{dog_dog_dog_dog},好像没啥用。[外链图片转存失败,源站可能有防盗链机原创 2021-02-03 13:29:39 · 184 阅读 · 0 评论 -
[ACTF2020 新生赛]Upload
[ACTF2020 新生赛]Upload打开的样子上传一句话木马,bp改后缀php,被拦截了。。依然是phtml蚁剑连接,在根目录找到flag flag{cce6f417-f034-412a-9040-6a0e01520609}原创 2021-02-03 13:24:57 · 118 阅读 · 0 评论 -
[ACTF2020 新生赛]BackupFile
只有一个地址栏,根据提示,是备份文件泄漏index.php.bak的时候有反应(但是御剑扫描不出来(已经添加index.php.bak到字典))【求评论区解答】查看index.php.bak查询相关函数的功能截取这一部分,运行构造$key == $str的key值在线运行结果菜鸟教程传参key=123即可...原创 2021-01-29 16:16:10 · 97 阅读 · 0 评论 -
[极客大挑战 2019]BuyFlag
查看源代码发现提示1、用post传递 money和password2、isset函数确定传参的password不为空3、另外要求password为404但是不是数is_numeric函数的绕过可以用空字符 %00 无论是%00放在前后都可以判断为非数值用bp抓包,send to repeater根据这三句话的提示更改包里的内容user=1按照提示 money=10000000但是提示长度太长了注意到这个题是php5.3版本同时注意到,此题用到的是PHP 5.3.5,老版原创 2021-01-29 16:12:21 · 77 阅读 · 0 评论 -
[GXY CTF2019] Ping Ping Ping
打开后的样子f12查看源码,没发现有价值的东西试着从URL栏入手,根据提示 猜测构造/?ip= 的get传值猜测服务器版本为linux,试一下其他命令,可行。堆叠注入尝试读取flag.php,服务器把空格过滤了。。想办法绕过。绕过空格方法:$IFS$1 默认是空白, 也可以实现空格功能这篇文章介绍的比较详细IFS的默认值为:空白(包括:空格,tab, 和新行),将其ASSII码用十六进制打印出来就是:20 09 0a (见下面的shell脚本)。IFS对空格的空原创 2021-01-29 15:57:54 · 122 阅读 · 0 评论 -
fakebook--2018网鼎杯--攻防世界wp
fakebook–2018网鼎杯刚打开的样子登录不行,先注册。同时用burp suite 抓包发现异常包robot.txt查看后发现存在泄漏进入下载文件并查看注册后登录,发现将no=不存在的值会报错结合user.php.bak发现存在get注入并且可以找到资源的物理路径用 order by查询字段 当字段为4 返回值正常查询数据库名http://220.249.52.134:51172/view.php?no=-6%20union/**/select%201,grou原创 2021-01-29 15:49:48 · 257 阅读 · 0 评论