ctf
雨季丶
一直在追遂
展开
-
[EIS2019]EzPOP--反序列化题目
题目地址:https://buuoj.cn/challenges#[EIS%202019]EzPOP发现代码中可利用点只有file_put_contents($filename, $data) ,所以我们从它开始倒推我们需要分别找到$data的链和$filename的链使options['data_compress']=false,不让$data压缩data来自value,$data = $this->serialize($value);,使options['serialize']=trim,这样se原创 2022-06-19 23:22:32 · 1140 阅读 · 1 评论 -
[SWPUCTF 2018]SimplePHP--一道简单的Phar反序列化题目
题目就不贴了,直接给出利用链①:echo会触发__toString魔术方法,所以这里的$this->test应该是Show类实例化的对象show②:这里应该使$this->str['str']为Test类实例化后的对象test,然后test->source会触发__get魔术方法(因为Test类没有名为source的成员变量,所以会触发get魔术方法,并且$key=source)③④:调用get方法,$...原创 2022-06-16 21:40:53 · 997 阅读 · 0 评论 -
PwnTheBox--快速计算
一、问题描述打开题目之后,要求3秒之内计算一个式子,我们过三秒再刷新发现式子就发生了变化,这道题手算是不太可能了,考虑别的方法。二、解决问题使用python解决问题的大概思路如下:(1)先创建一个session对象。(因为计算出结果后需要再次发送数据,而session对象可以保留会话,第二次发送时带上第一次时的消息头)s = requests.Session()(2)使用session对象访问题目地址,并从中提取出需要计算的表达式。r = s.get('http://11原创 2022-03-01 09:05:38 · 1112 阅读 · 1 评论 -
“百度杯”CTF比赛 2017 二月场--爆破-1
问题描述问题解决根据pre_match匹配的正则表达式 /^\w*$/,以及题目提示6位=》 a应该是6位的字母、数字、下划线var_dump($expression)输出变量的值,参数可以是变量数组即传入$a=xxxxxx,执行var_dump($xxxxxx)的结果就是flag现在爆破xxxxxx,无果。。。。看wp,大神说执行var_dump($GLOBALS)查看php全局变量来自ctf小菜鸡的日常分享,欢迎各位大佬留言。...原创 2022-01-20 12:06:48 · 2820 阅读 · 0 评论 -
“百度杯”2017 二月场Zone---Nginx配置不当导致的文件读取漏洞
问题描述点进去题目的网址,显示需要登陆 ,跳转到登录页登录页并没有什么思路问题解决1.先抓个包看一下cookie中有一个login参数为0,猜测他为权限判断的依据,更改为1进入一个新的页面,发现一个名为/manages/admin.php的页面访问该页面,并且抓包,把login改为1发生302跳转,发现module,怀疑是文件包含漏洞包含的思路就来自网上了,是因为nginx配置不当的原因导致的,我们可以包含ngin的配置文件;然后就...原创 2021-12-07 19:31:20 · 482 阅读 · 0 评论 -
ctfshow web8--sql注入
问题描述题目提示是一道sql注入题打开题目,猜测注入点应该在id那里经过测试,发现该题过滤了union关键字、单引号、逗号、空格问题解决1.过滤了union关键字就不可以用联合注入了,尝试布尔盲注。2.过滤了逗号,使用mid(username from 1 for 1)代替mid(username,1,1); 使用limit 1 offset 1代替limit 1,13.过滤了空格就是用/**/注释来绕过。4.过滤了...原创 2021-10-19 20:28:57 · 2171 阅读 · 0 评论 -
ctfshow web5--php代码审计
问题描述问题解决题目只有一段php代码,要读懂这段代码,首先要知道ctype_alpha和is_numeric这两个函数去百度一下所以这段代码的意思就是,通过get方式传入两个参数v1,v2,要求:1. v1 只包含字符2. v2只包含数字3. v1和v2做md5散列运算后的值相同这里传入v1=QNKCDZO&v2=240610708,得到flag关于md5运算后值相同问题看我另一篇博客:md5值相同,但未计算md5的值不同的绕过...原创 2021-10-18 22:59:53 · 240 阅读 · 0 评论 -
md5值相同,但未计算md5的值不同的绕过
1.如果两个字符经MD5加密后的值为 0exxxxx形式,就会被认为是科学计数法,且表示的是0*10的xxxx次方,还是零,都是相等的。下列的字符串的MD5值都是0e开头的:QNKCDZO240610708s878926199as155964671as214587387as214587387a2.md5()函数无法处理数组,如果传入的为数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是相等的。...原创 2021-10-18 22:58:51 · 2765 阅读 · 1 评论 -
ctfshow web3 web4--服务器日志文件包含
问题描述 打开题目发现只有一句php语句,看到include,考虑文件包含漏洞问题解决 在网上逛了一圈,发现大佬们都是用php伪协议来做这道题,我考虑可不可以使用服务器日志来进行文件包含。先来看一下网站是什么服务器。在网上查到nginx服务器日志目录为/var/log/nginx/access.log,查看一下发现可以包含,我们想到可以在日志中插入php一句话木马,然后使用蚁剑或者菜刀连接使用burp抓包,修改referer 写入一句话木马,使用a...原创 2021-10-18 22:07:40 · 3918 阅读 · 0 评论