CTF
文章平均质量分 63
tao0845
萌新,做些简单的记录
展开
-
NSSCTF Round#13 WEB
在忘记密码下面有提示secretkey,那么就可以jwt伪造自己注册个账号然后登录点击拿flag提示你不是admin,并且cookie里面有个session,用工具解密一下里面有个_user_id为2,那么猜测admin为1修改成1再用工具伪造直接拿到flag。原创 2024-03-04 23:15:36 · 338 阅读 · 0 评论 -
[NSSCTF 2nd]MyJs
verify 的第三个参数options应该是用algorithms传入的数组,这里写成了 algorithm,导致加密方式为空,空加密允许空密钥即,secret可以为空。如果验证成功,表示用户提供的用户名、密码和令牌与令牌中的用户信息匹配,创建一个req.session.data。中,这里merge是原型链污染的高危函数,所有打原型链污染要在update路由打,并且用户名需要是nss.,提示用户名已存在,如果用户名为其他,定义长度为16的随机字节序列,将其转换为十六进制字符串,并作为。原创 2024-03-03 16:07:20 · 770 阅读 · 0 评论 -
[NSSCTF 2nd] web复现
上传文件名被黑名单ph,htaccess,ini检测,但是pathinfo检测到filename.extension/.时,PATHINFO_EXTENSION被检测为空,空不在黑名单里面,就能绕过检测上传一个1.php/.,在file_put_contents函数中,如果filename为1.php/.,就会在当前目录创建一个名为1.php的文件,从而实现传马由于没有上传点,用py上传/要用url编码在环境变量里面找到flag。原创 2024-03-02 20:51:56 · 1094 阅读 · 0 评论 -
HGAME week2 web
测试发现可以反引号命令执行。原创 2024-02-22 17:15:34 · 340 阅读 · 0 评论 -
SICTF round#3 web
flag在flag吧表里,应该字段名就是flag,并且information_schema被过滤,推测用的无列名注入。黑名单有and ,like,or,information_schema,group by,空格等等。第三个payload是thinkphp V6.0.3 反序列化漏洞。url可以进行文件包含,但是flag被过滤。在__destruct处可以直接读取文件。扫描目录有www.zip文件,下载下来。第二出用回溯绕过正则匹配。原创 2024-02-19 19:29:32 · 563 阅读 · 0 评论 -
[NSSRound#16 Basic]Web
显示md5强比较,然后md5_3随便传下一个目录3z_RC3.php法一:可以不用shell,直接利用cmd实现rce或者用array_pop函数,返回数组最后一个元素。原创 2024-02-16 10:26:13 · 572 阅读 · 0 评论 -
[NSSRound#17 Basic]WEB
看robots.txt密码先base32再base64得到md5加密的密文,在线解得到密码为Nsshint用16进制转字符串,提示新生赛遇到过是一个敲击码加密账号是ctfer,登录之后源码提示在F111n4l.php要求nss参数若比较等于732339662,但是不能是数字nss=732339662,1绕过。原创 2024-02-14 21:02:30 · 277 阅读 · 0 评论 -
Hgame week1 web
后来得知是后天每隔一段时间会放出一些课,一直发包就能在放课的时候选到课了。可以看到好多base64字符串,猜测base64加密了flag。不准注册,禁用一下js成功注册登录拿到flag。每个都一直发包最后就可以全选课成功。右键,F12都被禁,直接开发者工具。第二个其实是base64加密的表。百度搜索得到一个相关内容,自己。3.点击选课发包时候显示已满。结合题目描述是oql rce。发现两个比较长的编码。原创 2024-02-07 18:01:42 · 270 阅读 · 0 评论 -
[RootersCTF2019]I_<3_Flask
打开界面,根据题目应该是个flask模板注入,但是参数不知道是什么,偷看了一手别人的wp,学到了一个工具Arjun。先看一下有没有os._wrap_close类。并没有什么过滤可以直接执行os指令。找到一个参数name,测试一下。放到notepad里面排下序。看一下全局变量有没有flag。原创 2024-01-28 12:54:49 · 157 阅读 · 0 评论 -
[SWPUCTF 2018]SimplePHP1
看一下参数,$value由params[$key]得到,$key由出发__get函数时传入,可以控制params和key使得$value=f1ag.php。file_get函数由get触发,get由__get触发,当指向类中不存在的变量时候可以出发__get魔法函数。有file_get_contents()是不是可以通过构造pop链,实现读取f1ag.php呢。有查看文件跟上传文件,查看文件里面显示没有文件url貌似可以文件读取。/etc/passwd不能读取,源码提示flag在f1ag.php。原创 2024-01-27 16:06:56 · 423 阅读 · 0 评论 -
CTFshow元旦水友赛web部分题解
Chu0_write:被创建时候,chu0被赋值为xiuxiuxiu,当Chu0_write被当作字符串使用时,如果chu0和chu1相等,content则为ctfshowshowshowww和get传参的chu0拼接后字符,如果name中的“base64”个数为1或者有其他方法,将content写入name.txt,其中name用get上传。get传参show_show.show,先后进行waf1 和waf2如果绕过正则,进行反序列化。可以看到能读取到文件,读取一些配置文件无果,尝试用pear文件包含。原创 2024-01-27 14:15:06 · 1120 阅读 · 0 评论 -
[GYCTF2020]Ezsqli1
提交1,2有正确的查询结果,3以后都显示Error Occured When Fetch Result.由于mysql里面字符串比较大小只是比较第一个字符的大小,就可以利用这一点实现无列名注入。但是information_schema被过滤了,这里用到MySQL5.7的新特性.两个表users233333333333333,f1ag_1s_h3r3_hhhhh。发现information_schema被过滤了,猜测是盲注了。发现可以,再测试一下substr。可以用,写个脚本爆一下表名。原创 2024-01-27 14:04:05 · 580 阅读 · 0 评论