- 博客(24)
- 收藏
- 关注
原创 CTFhub uploadddd
这个题看着是一个文件上传题,看着挺正常,可以上传php文件,但是没返回路径,有点懵所以肯定得找其他方法取处理,去寻找它的上传路径,可能是源码泄露,这就涉及到之前了解的源码泄露的种类了。SVN泄露,vim缓存泄露,git泄露。贴一下以前记录的探测几种泄露方法的截图试了一下,发现是vim缓存泄露利用vim -r 命令恢复了index源码```php<?phpif (isset($_POST['submit'])){ $file_path = "uploads/";
2020-09-26 11:01:41
397
原创 CTFhub 真题部分 Injection V2.0
真题部分前面几个都比较简单,只要知道了方法基本能走出来,这个题是一个注入题,根据提示已经确定用户名是admin,接下来要通过注入的方法把密码给破出来经过测试发现对空格进行了检测,这里绕过方法很多主要是以下几个/**/()回车(url编码中的%0a)`(tap键上面的按钮)tap两个空格/**/成功绕过因为返回的内容只有 密码错误 这一个内容,我感觉这个题是盲注题想过爆破,但是()+被过滤了,看到一种说法说()被过滤了就无法爆破了,不太清楚是不是这么一回事看了下别人的CTF,才发现
2020-09-23 21:17:59
837
原创 CTFhub SSRF第一部分
1.内网访问提示得很明显就是要利用ssrf漏洞访问127.0.0.1主机内的flag.php.在查阅资料的过程中还发现了其他的绕过写法,加上这些特殊符号后对结果无影响2.伪协议读取文件强调了Web目录,那明显就是要用到绝对路径,file协议是用绝对路径访问本地文件的协议。Linux系统下,网站路径是 /var/www/html/… 利用该路径去获得flag文件看一下对比file协议是引入绝对路径,但不理解为什么用127.0.0.1直接包含的flag.php跟用file协议绝对路径包
2020-09-16 09:00:10
786
原创 CTFhub Bypass disable_function LD_PRELOAD
基本做完了基础题目,开始进入进阶的题了,第一道题给我整懵了。知识盲区<!DOCTYPE html><html><head> <title>CTFHub Bypass disable_function —— LD_PRELOAD</title></head><body><h1>CTFHub Bypass disable_function —— LD_PRELOAD</h1><
2020-07-29 22:38:21
735
原创 CTFhub 提取源代码
<?phperror_reporting(E_ALL);if (isset($_GET['file'])) { if ( substr($_GET["file"], 0, 6) === "php://" ) { include($_GET["file"]); } else { echo "Hacker!!!"; }} else { highlight_file(__FILE__);}?><hr>i don'
2020-07-27 20:04:40
1360
原创 CTFhub php://input
这一次相对于远程包含过滤了php://就不能直接利用 input 伪协议完成命令执行了<?phpif (isset($_GET['file'])) { if ( substr($_GET["file"], 0, 6) === "php://" ) { include($_GET["file"]); } else { echo "Hacker!!!"; }} else { highlight_file(__FILE__);}?&g
2020-07-27 19:53:49
3884
原创 CTFhub远程包含
没有可直接利用的shell了,但是测试了一下,发现php伪协议中的input协议可以利用试试用这种方式展示目录下的文件从phpinfo内可以看到根目录为/var/www/html。改post的命令为<?php system('find / -name flag*'); ?>再改为<?php system('cat /flag'); ?>得到flag...
2020-07-27 15:56:12
1475
原创 CTFhub 文件包含
这类题目很久以前接触过,也有过应用,主要的方法是利用一些伪协议完成后台信息的提取题目源码<?phperror_reporting(0);if (isset($_GET['file'])) { if (!strpos($_GET["file"], "flag")) { include $_GET["file"]; } else { echo "Hacker!!!"; }} else { highlight_file(__FILE_
2020-07-27 15:20:00
2535
原创 CTFhub 文件上传类
1.hatcess.hatcess是我的知识盲区,查阅资料大概了解了,.hatcess是一个用于管理环境目录下的一些规则的配置文件。具体看这个题if (!empty($_POST['submit'])) { $name = basename($_FILES['file']['name']); $ext = pathinfo($name)['extension']; $blacklist = array("php", "php7", "php5", "php4", "php3",
2020-07-03 10:21:13
828
原创 CTFhub RCE 命令注入部分
这种题其实已经比较熟悉了,使用 |,&&,;等分隔符对前面ping的内容进行隔断,然后执行自己的命令任意值;ls发现了除了目录下除了index.php外还有另一个php文件输入 127.0.0.0;cat 21701615624125.php 发现确实多了个反馈的参数,但是看不到值,很疑惑后面知道了,这是因为cat命令反馈的值无法直接显示这时有两个方法,一是直接查看源码源码里是能看到的第二个方法是直接把命令改为127.0.0.1;cat 27712282015742.php.
2020-07-01 11:18:07
1239
原创 CTFhub 默认口令
这个题的思路挺特别的,有必要记录下 开始看见这个想到的是 绕过验证码然后通过爆破的方式登录进去验证码这块的绕过方式一般是 前端绕过 或者 利用session进行绕过,在这个题内没发现这种迹象,卡住了。看了别人的writeup后找到方法,原来给的 eyou邮件网关 的意义是让我们去寻找默认口令https://www.uedbox.com/post/23317/这篇帖子上有关于eyou网关默认密码漏洞的报告,能利用默认密码登录进eYou网关,下载其中的邮件关于默认密码的信息,从别人那里找了下ht
2020-06-30 10:47:09
1851
原创 CTFhub SVN泄露
SVN泄露又一次到了我的知识盲区,Git泄露的做法比较熟悉,SVN这玩意是第一次听说。在网站后面加/.svn/entries,下载了除了entries,里面的数字是12(有什么用?是现存的版本吗?)按照原始的方法用Seay-SVN进行下载下载失败,原因未知https://github.com/kost/dvcs-ripper上面这个链接的工具据说可以使用,位于linux下,是用perl语言写的使用过程也是一波三折./rip-svn.pl -v -u http://challenge-f1f9
2020-06-28 19:26:18
3376
原创 CTFhub vim缓存
1.vim缓存这一块涉及到了我的知识盲区,查阅百度后知道了vim在编辑文档的过程中如果异常退出,会产生缓存文件,第一次产生的缓存文件后缀为.swp,后面会产生swo等.网页后面输入index.php.swp显示无效链接,这一点我也很疑惑,需要输入.index.php.swp(前面多加了一个.)才能获取到index.php的备份文件后来在另一个帖子上找到了答案swp这类隐藏文件在调用时前面要加一个.2.获取到swp文件后,直接编辑的话是一堆乱码,因为其并不是文本格式得到Flag
2020-06-28 09:16:24
5324
1
原创 CTFhub 技能树 Web信息泄露 目标遍历
刚开始看到这个题目以为需要扫描后台,御剑扫描后台无果后面用burpsuit查看了各个文件夹的原码,未发现flag。发现异常在第一次点任何一个文件都没有页面切换,只有第一次任意点击之后再点击一个文件才能进入真正的1,2,3,4文件夹内确认的文件夹路径就有4的平方=16个路径flag应该在其中一个路径之下一种方法是手动,但是这样比较麻烦,还有一种办法是用request库(这个库用于批量对网页进行操作太方便了,需要好好利用,需要找网页中的东西用这个库的python代码来找方便很多)import req
2020-06-27 16:24:47
220
原创 实验吧 Guess Next Session
要求用GET方式提交的password值与$_SESSION[‘password’]相同。$_SESSION是什么?网上的解释:Session 的工作机制是:为每个访问者创建一个唯一的 id (UID),并基于这个 UID 来存储变量。UID 存储在 cookie 中,亦或通过 URL 进行传导。则是说,session要通过cookie或url中的值来更新主要还是根据cookie进行更新...
2019-05-29 11:22:51
209
原创 http://level3.tasteless.eu/ 获得服务器目录及其内部文件信息
分析信息:得出结论:1.index.php为该目录下的主文件2.提醒我们查看php.ini3.rfi is forbidden 说明配置里allow_url_fopen为Off,该题极有可能要利用allow_url_include来解决问题4.可以看出文件包含的参数是 file,用的包含函数为require_once()第一步,尝试用filter获取php.ini得到了Base64码,...
2019-05-24 23:25:51
387
原创 南邮平台 文件包含漏洞题
当无法判断allow_url_fopen,allow_url_include的开启状态时,可逐一尝试如下的请求判断哪些能够执行 1.?file=data:text/plain,<?php phpinfo()?> 2.?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpPz4= 3.?file=php://input...
2019-05-24 20:51:12
417
原创 实验吧 后台登陆(应对将输入值进行md5 处理的方式)
这里的提示代码为: $password=$_POST['password']; $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'"; $result=mysqli_query($link,$sql); if(mysqli_num_rows($resul...
2019-05-17 21:32:32
203
原创 SQL注入简单版思路总结 (基于DVWA系统)
对于有提示,丝毫不加过滤的表单注入顺序如下:一.探测是否有诸如点常用的简单php处理语句有三类:1.select *from … where id=’$input_data’2.select *from … where id=$input_data3. select *from … where id="$input_data"对于这三种情况,需要输入三种数据进行探测最常见的情况1,输...
2019-05-17 19:55:41
435
转载 实验吧 头有点大
不知道该写什么,解决方法都是从百度上东拼西凑凑出来的说一下思路,这个题要求伪造安装了 (1).net framework9.9 ,(2)在英国,(3)用IE浏览器解决办法如下图分别伪造 .net和在英国。还没伪造IE浏览器,flag已经出来了,伪造IE的方法的是将Firefox/65.0部分改为compatible;MSIE 6.0...
2019-05-14 21:30:49
95
原创 实验吧 貌似有点难
这个题是一个代码审计题代码如下:<?phpfunction GetIP(){if(!empty($_SERVER["HTTP_CLIENT_IP"])) $cip = $_SERVER["HTTP_CLIENT_IP"];else if(!empty($_SERVER["HTTP_X_FORWARDED_FOR"])) $cip = $_SERVER["HTTP_X_FORWA...
2019-05-14 20:51:41
125
原创 实验吧 天下武功唯快不破
本题用常规方法无法做出来,一直反馈的页面如下:我一直在考虑什么叫做能否再快一点?这里获取到FLAG,BASE64解码后用POST方式提交还有更快的方式吗?看了其他人的帖子,发现是我找错方向了。这里的更快是要更快实现提取数据,提交数据过程,后台可能有一个时间限制,超过这段时间就无法获取flag了。所以,这里需要用代码实现整个过程代码如下:以后如果碰到类似的题,可以修改代码来实现功能...
2019-05-14 11:43:03
132
原创 实验吧 让我进去
前面的先不说,重点说说如何构造数据满足条件1.COOKIE["getmein"]===md5(COOKIE["getmein"] === md5(COOKIE["getmein"]===md5(secret . urldecode($username . password))2.secret是15字节长3.md5(passw...
2019-05-13 21:50:55
200
原创 实验吧 天网管理系统writeup
实验吧 天网管理系统writup 仅提供过程: 1.使用Burpsuit查看网页有一段隐秘的提示`****<!-- $test=$_GET['username']; $test=md5($test); if($test=='0') -->****` 2.按照要求,输入一个经过md5加密后php脚本识别为0的字符串作为username 3....
2019-04-28 19:50:18
114
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人