CTF write up
文章平均质量分 88
CTF
hui________
人的一生是一个不服气的过程
展开
-
NepCTF 2022 Web
解密sqlmap目录下准备好的so文件,导出hex值,可以用mysql select load_file,也可以用010editor进行导出,我这直接用工具导了。并且注意到提交$query语句提交到后端执行的是multi_query函数,也就是支持多语句执行,因此,这里的考点为二次注入+堆叠注入。udf提权一般三个条件,plugin目录,有insert和delete权限,然后就是配置文件secure_file_priv为空。这里迷了一下,开始疑惑为啥五个问题要用6个占位,后来看了下init.sql。原创 2022-07-22 18:03:19 · 958 阅读 · 0 评论 -
[网鼎杯 2020 玄武组]SSRFMe
平台:buuoj.cn直接给出源码<?phpfunction check_inner_ip($url){ $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url); if (!$match_result) { die('url fomat error'); } try { $url_parse=parse_url($ur原创 2020-07-23 16:31:05 · 1328 阅读 · 0 评论 -
[De1CTF 2019]ShellShellShell
平台:buuoj.cn打开靶机是一个登录框原创 2020-07-17 12:34:59 · 1732 阅读 · 3 评论 -
[SWPUCTF 2018]SimplePHP
平台:buuoj.cn打开靶机有上传和查看文件功能观察到查看文件url可以直接读取文件内容将各个文件源码复制下来主要有以下文件考点:phar文件上传先来看class.php,有三个类C1e4r类对象创建时$name传递给$str,对象销毁时$str->$test并输出$testclass C1e4r{ public $test; public $str; public function __construct($name) {原创 2020-07-05 12:13:38 · 2187 阅读 · 0 评论 -
[HFCTF2020]BabyUpload
平台:https://buuoj.cn打开靶机给出源码,分析一下<?phperror_reporting(0);session_save_path("/var/babyctf/");session_start();require_once "/flag";highlight_file(__FILE__);if($_SESSION['username'] ==='admin'){ $filename='/var/babyctf/success.txt'; if(file原创 2020-07-04 15:12:13 · 2840 阅读 · 3 评论 -
审计练习18——[BJDCTF2020]EzPHP
平台:buuoj.cn打开靶机加载来自卡巴斯基网络威胁实时地图,控制台查看源码发现base64,解码得1nD3x.php访问得源码<?phphighlight_file(__FILE__);error_reporting(0); $file = "1nD3x.php";$shana = $_GET['shana'];$passwd = $_GET['passwd'];$arg = '';$code = '';echo "<br /><font color=原创 2020-06-30 14:45:57 · 552 阅读 · 1 评论 -
DozerCTF2020部分web复现
前几天打的比赛,web只做出了两道签到题,域渗透的题暂且搁置,想着就把其他的web复现一下吧。平台:http://ctf.dozerjit.club:8000/sqli-labs 0sql-labs改的题,试了很多种姿势都没让id报错,后来还是官方出了hint让尝试url二次编码(喷)才成功之前在测试中发现select,union之类的都被过滤了,开始以为是盲注,所以写了个脚本出了数据库import requestswords = "Dumb"result = ""for i in r原创 2020-06-20 12:19:04 · 574 阅读 · 0 评论 -
审计练习17——[MRCTF2020]Ezpop
平台:buuoj.cn打开靶机得源码<?php//flag is in flag.php//WTF IS THIS?//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95//And Crack It!class Modifier { protected $var; public f原创 2020-06-17 21:36:41 · 589 阅读 · 1 评论 -
审计练习16——[MRCTF2020]套娃
平台:buuoj.cn打开靶机源码处php代码第一个if如果传入的参数出现_和它的url编码%5f,则打印Y0u are So cutE!绕过:用.或空格代替_第二个if要b_u_r_t的值为23333但添加了正则匹配,用^和$来界定23333的首尾,代表了“行的开头和结尾”,只匹配一行,因此%0a换行绕过打开secrettw.php提示本地,xff不行,用client-ip下面的jsfuck代码直接控制台输出那么就post一个Merak随便传个值回显php,代码如下<?原创 2020-06-12 11:03:38 · 450 阅读 · 0 评论 -
审计练习15——[网鼎杯 2020 朱雀组]phpweb
平台 :buuoj.cn打开靶机一张众生皆懒狗(拜)观察到会自动刷新时间,截个包func调用函数p作为参数,那么代码执行index.php如下 <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","esca原创 2020-06-07 11:55:26 · 389 阅读 · 0 评论 -
审计练习14——[网鼎杯 2018]Comment
平台:buuoj.cn打开靶机是个留言板发帖需要登录,只缺密码的后三位,burp爆破即可扫下目录git泄露,githacker源码下下来write_do.php显示不全历史文件恢复一下完整代码如下<?phpinclude "mysql.php";session_start();if($_SESSION['login'] != 'yes'){ header("Location: ./login.php"); die();}if(isset($_GET[原创 2020-06-06 14:12:18 · 390 阅读 · 0 评论 -
审计练习13——[安洵杯 2019]easy_serialize_php
平台: buuoj.cn打开靶机得源码<?php$function = @$_GET['f'];function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img);}if($_SESSION){ un原创 2020-06-05 10:55:52 · 429 阅读 · 2 评论 -
审计练习12——[BJDCTF2020]ZJCTF,不过如此
平台:buuoj.cn打开靶机得源码<?phperror_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>原创 2020-06-04 12:03:43 · 605 阅读 · 0 评论 -
审计练习11——[CISCN 2019 初赛]Love Math
平台:buuoj.cn打开靶机源码如下<?phperror_reporting(0);//听说你很喜欢数学,不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){ show_source(__FILE__);}else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算"); } $blackli原创 2020-06-03 18:19:39 · 283 阅读 · 0 评论 -
审计练习10——[CISCN2019 华北赛区 Day1 Web1]Dropbox
平台:buuoj.cn打开靶机注册登录之后是一个管理面板,有上传功能上传文件试试看可以下载,抓个包有任意文件下载把文件都下下来考点phar反序列化class.php中定义了三个类:User,Filelist,FileUser类中除了三个用户处理函数外,在结束对象时会自动执行__destruct函数调用close()Filelist类中存在一个特别的魔术方法,__call()PHP5 的对象新增了一个专用方法 __call(),这个方法用来监视一个对象中的其它方法。如果你试着调原创 2020-06-02 22:20:43 · 321 阅读 · 0 评论 -
审计练习9——[BJDCTF2020]Mark loves cat
平台:buuoj.cn打开靶机先扫目录,发现git泄露githack下下来看下这两个php文件flag.php读取flag,index.php前端代码后php关键代码如下<?phpinclude 'flag.php';$yds = "dog";$is = "cat";$handsome = 'yds';foreach($_POST as $x => $y){ $$x = $y;//把post传入的变量x前添加$}foreach($_GET as原创 2020-06-01 10:56:00 · 432 阅读 · 4 评论