qq_44598397的博客

原创 login3

Bugku login3解释：题目给出了提示：基于布尔的SQL盲注打开网页，是登录框，那我们很大可能就是在username或password上进行注入，可能性大一点的是username了吧。首先输进行一些尝试，找出正确的注入地方以及是否进行了过滤。反馈是password error！输入用户名admin1，得到username does not exist!，所以这里应该是先对u...

原创 前女友

点击这个会出现代码：简而言之：要满足v1!=v2.但是md5(v1)=md5(v2)1、可以通过PHP处理0e开头md5时hash字符串漏洞(0e开头md5所代表的值相同)来构造，下面这篇文章中有关于这个的构造。https://blog.csdn.net/dyw_666666/article/details/82348564构造：v1=240610708&v2=QNKCDZO...

原创 bugku各种绕过

题目要求uname!=passwd。但是他们的SHA1值要相同。且id值为margin利用PHP的sha1漏洞，当参数为数组时返回false，===判断成立

原创 md5碰撞

md5碰撞漏洞描述（样本）<?php$md51 = md5('QNKCDZO');$a = @$_GET['a'];$md52 = @md5($a);if(isset($a)){if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}";} else { ec...

原创 字符，正则

代码解释：1.preg_match （要搜索的模式，字符串，参数） 在字符串里搜索符合 要搜索的模式 的字符，并返回给2.trim(字符串,字符) 移除字符串两侧的空白字符或其他预定义字符。（<?php$str = “Hello World!”;echo str."<br>";echotrim(str . "<br>";echo trim(str...

原创 这是一个神奇的对话框

那就开始寻找注入点吧，输入0’发现还是：输入0" 发现报错：确定可以注入，判断字段有多少个 0"order by 1,2,3# 发现：说明有两列。输入 0" union select database(),2# ，得到库名：继续输入 0" union select table_name,2 from information_schema.tables where table_sc...

原创 细心

没什么 特别的提示。用御剑扫描一下，发现一个rebots.txt：在robots.txt下发现如下内容：robots.txt是网站爬虫规则的描述。进入result.PHP中根据题目一开始给的提示，想办法变成admin即Payload：http://123.206.87.240:8002/web13/resusl.php?x=admin...

原创 速度要快

Bugku：速度要快（与上面一个秋名山老司机相似）答案解释：此处叫你用post提交个margin抓包后，发现响应头有flag;flag: 6LeR55qE6L+Y5LiN6ZSZ77yM57uZ5L2gZmxhZ+WQpzogTWpnek16RTM=解密后结果：跑的还不错，给你flag吧: MjgzMzE3。（MjgzMzE3还是base64）还要再解密。故上面的split实现的...

原创 秋名山老司机（在python中添加request的模块）

1、秋名山老司机题目：解答：其一：第 7 行是利用正则表达式截取响应内容中的算术表达式。首先引入 re 模块，其次用 search() 匹配算术表达式，匹配成功后用 group() 返回算术表达式的字符串。（想掌握正则表达式，还是要多看、多想、多练，毕竟应用场合非常之广）其二：search() 的第一个参数是匹配的正则表达式，第二个参数是要匹配的字符串。其中 \d+代表一个或多个数字；...

原创 多次

以此判断出有2列；id=1后面加单引号会报错，后面加–+注释返回正常，确定存在SQL注入?id=1’or 1=1–+ 也报错，可能存在过滤尝试双写绕过，?id=1’oorr 1=1–+ 返回正常那如何检测哪些字符串被过滤了呢？新技能GET！异或注入了解一下，两个条件相同（同真或同假）即为假http://120.24.86.145:9004/1ndex.php?id=1’^(lengt...

原创 程序员本地网站

这道题要求从本地访问，打开burpsuite抓包，加上：X-Forwarded-For: 127.0.0.1 就好了X-Forwarded-For: 简称XFF头，它代表客户端，也就是HTTP的请求端真实的IP，只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。...

原创 本地包含

方法一：eval存在命令执行漏洞，使用hello构造payloadhttp://120.24.86.145:8003/index.php?hello=1);show_source(%27flag.php%27);var_dump(方法二：http://120.24.86.145:8003/index.php?hello=1);include POST[′f′];//在POST区域：f=php...

原创 web8

方法一：想得到flag，要达到下面三个条件：1.就要让ac的值不为空2.f的值从文件fn中获取（要用到php://input可以访问原始的请求数据的只读流【主体部分或是用post上传的数据将被读出】）3.ac的值要恒等于f的值特别：empty（）函数方法二：先根据 题目提示 txt??? 访问 flag.txt，发现其中内容 flagsac是指flag.txt中的内容flags，...

原创 sql注入

原创 SKCTF管理员系统

登录发现：由管理员可以联想到admin，去注册admin，发现已经存在但是密码未知1\SQL约束攻击：在SQL中执行字符串处理时，字符串末尾的空格符将会被删除。换句话说“vampire”等同于“vampire ”，对于绝大多数情况来说都是成立的（诸如WHERE子句中的字符串或INSERT语句中的字符串）例如以下语句的查询结果，与使用用户名“vampire”进行查询时的结果是一样的。S...

原创 getshell

上传题：一共三个过滤请求头部的 Content-Type文件后缀请求数据的Content-Type这里是黑名单过滤来判断文件后缀，依次尝试php4，phtml，phtm，phps，php5（包括一些字母改变大小写）最终发现，php5(PHP5)可以绕过接下来，请求数据的Content-Type字段改为 image/jpeg但是一开始没注意到，上面还有一个请求头Content-...

原创 cookie欺骗

1bugku.cookie欺骗解题思路：打开链接是一串没有意义的字符串，查看源码没有发现什么观察url ，发现 a2V5cy50eHQ= 是一个base64编码，解码后是keys.txt因此推出结论这里的源码应该是有一个include(fiename)或者filegetcontent(fiename)或者file_get_content(fiename)或者fileg​etc​ont...

原创 你从哪里来

修改http referer头即可HTTP_REFERER 编辑HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器我是从哪个页面链接过来的，服务器基此可以获得一些信息用于处理。简而言之，HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器我是从哪个页...

原创 bugku.welcome to the bugkuctf

这里记录我花了一整天才理清题目意思的题目，因为接触CTF时间还不长，水平还停留在各个方面都稍有了解，但是涉及的知识稍微深入一些就没有思路了，这道题目涉及了php的代码审计，php的伪协议，php的序列化，php魔术方法。因为我是小白一个，所以这道题目稍微把一些细节的地方说多一点，万一有些朋友看到其他writeup没看懂，看到我说的一些地方有可能就懂了。。。。首先打开题目查看源代码以后：从上...

原创 never nevernever give up

以下在摘抄https://www.cnblogs.com/cyc-endeavor/p/10375692.html //以下复制至为方便查找。记录【Bugku CTF】 Web —— never give up0x00 前言此题为 Web 基础题，难度中低，需要的基础知识有：HTML、PHP、HTTP 协议。首先考查发现源码的能力，其次重点考查 PHP 黑魔法的使用，相关链接如下：题...

原创 5、DVWA、Vulnerability: Insecure CAPTCHA

5、Vulnerability: Insecure CAPTCHA以上代码的作用为判断新的代码和验证的代码是否相同，相同则更改成功，否则报错。具体函数可参考暴力破解：主要用处之一有：mysqli_real_escape_string()会将转义特殊字符，一定程度上防止SQL注入。Low这里我们还是直接来看代码1、服务器通过调用recaptcha_check_answer函数检查用户...

原创 5、dvwa暴力破解

暴力破解相关函数的解释：（1）mysqli_query（2）die()作用：函数输出一条消息，并退出当前脚本。该函数是 exit() 函数的别名。（3）is_object()函数用于检测变量是否是一个对象。如果指定变量为对象，则返回 TRUE，否则返回 FALSE。（4）mysqli_error()函数返回最近调用函数的最后一个错误描述。（5）mysqli_connect_e...

原创 4、DVWA:file include (文件包含漏洞)

4、file include (文件包含漏洞)File Inclusion，意思是文件包含（漏洞），是指当服务器开启allow_url_include选项时，就可以通过php的某些特性函数（include()，require()和include_once()，require_once()）利用url去动态包含文件，此时如果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行。文件包...

原创 3、DVWA:FILE UPLOAD

3、FILE UPLOAD（1）LOW1、这段代码的核心就是验证是否有接收文件**（$_POST[‘Upload’]）然后组合文件根路径成为target_path就是目标路径。$target_path = DVWA_WEB_PAGE_TO_ROOT.“hackable/uploads/”;（上面的作用：DVWA_WEB_PAGE_TO_ROOT=D:\phpstudy\WWW\DVWA$t...

原创 2、DVWA Csrf

2、Csrf此处附上大佬链接：https://www.freebuf.com/articles/web/118352.html漏洞介绍：CSRF，全称Cross-site request forgery，翻译过来就是跨站请求伪造，是指利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对...

原创 DVWA-command injection

1、command injection漏洞介绍：**漏洞产生的原因：**程序中的某些功能需要执行系统命令，并通过网页传递参数到后台执行。然而最根本的原因是没有对输入框中的内容做代码过滤，正常情况下输入框只能接收指定类型的数据。漏洞影响：命令注入漏洞可以使攻击在受攻击的服务器上执行任何命令。需要用到的知识：&&:前一个指令执行成功，后面的指令才继续执行，就像进行与操作一样...

原创 LESS-54-55-56-57-58-59-60-61-62-63-64-65

LESS-54此系列主要是一个进阶的学习，将前面学到的知识进行更深次的运用。这一关我们主要考察的依旧是字符型注入，但是只能尝试十次。所以需要在尝试的时候进行思考。如何能更少的减少次数。这里的表名和密码等是每十次尝试后就强制进行更换。因为已经知道了数据库名字叫做 challenges，所以我们需要知道表名 输入：?id=-1%27union%20select%201,2,group_co...

原创 less-46-47-48-49-50-51-52-53

LESS-461、order by的原理为排序，所以通过sort+asc或desc的输出是否相同便可知是否有使用到排序（ASC 代表结果会以由小往大的顺序列出，而 DESC 代表结果会以由大往小的顺序列出。如果两者皆没有被写出的话，那我们就会用 ASC。）输入？Sort=1 desc输入：？Sort=1 asc两者不同说明这里使用了order by1、报错注入输入：http://127...

原创 LESS-39-40-41-42-43-44-45

less-39第39与38题的区别为本题id没有单引号。输入：http://127.0.0.1/sqlilabs/Less-39/?id=1; update users set username=‘more’ where id=‘38’ --+（无单引号为错误）LESS-40本处的区别在于id为‘）闭合方式；输入：http://127.0.0.1/sqlilabs/Less-40/?i...

原创 LESS-35-36-37-38-39

LESS-35由于id没有被单引号括起来所以addslashes起不到作用所以俺正常提交即可。输入：http://127.0.0.1/sqlilabs/Less-35/?id=-1 and extractvalue(1,concat(0x7e,(select database()),0x7e))–+less-36本体的本质和前面相同不过采用的是MySQL_real_escape_stri...

原创 less-32-33-34

LESS-321、PHP编码转义一次，后面正则表达式还要再转义一次，所以有\\。党PHP转义后只剩\。再经过正则表达式就只剩下一个2、/的作用表示后面是正则表达式3、i表示区分大小写上述函数为过滤 ‘ \ 的函数，将 ‘ 转为 \’ ， 将 \ 转为 \ ，将 “ 转为 \”。注释方法：1、%df 吃掉 \ 具体的原因是 urlencode(‘) = %5c%27，我们在%5c%27...

原创 LESS-23 LESS-25 LESS-25a

LESS-23源码：以此可知可以通过报错注入等方式语法：mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int KaTeX parse error: Expected 'EOF', got '&' at position 19: …it = -1 [, int &̲c...

原创 LESS-18~LESS~22

LESS-18由于用户和密码都有check_input()处理，所以不能再用户和密码处进行注入，但是可以看出有insert语句insert=&quot;insertinto‘security‘.‘uagents‘(‘uagent‘,‘ipaddress‘,‘username‘)VALUES(′insert=&quot;insert into `security`.`uagents...

原创 less14~less-17

LESS-14输入：admin”由此可见这个有错误提示且为双引号闭合；由于有报错提醒故可用报错注入:admin" and extractvalue(1,concat(0x7e,(select database()),0x7e))#Admin” and extractvalue(1,concat(0x7e,(select table_name from information_schem...

原创 LESS-13

LESS-13源码：输入：admin’,出现错误提示，可以知道sql注入中是用’)闭合。输入：admin’)#因为这里有报错，所以可以用报错注入admin’) and extractvalue(1,concat(0x7E,(select database()),0x7E))#布尔注入：admin’) and left(database(),1)>‘a’#（可以用二分法进...

原创 LESS-8 ~LESS-12

LESS-8此处不同于第5关的是：这里的报错被注释掉了，故不能用报错注入，可以延时注入和布尔注入延时注入：http://127.0.0.1/sqlilabs/Less-8/?id=1' and if(ascii(substr(database(),1,1))=115,1,sleep(5))–+盲注：http://127.0.0.1/sqlilabs/Less-8/?id=1' and ...

原创 LESS-7

LESS-7源码：注意在要对文件进行导入导出首先得要有足够的权限，但是mysql默认不能导入和导出文件，这与secure_file_priv的值有关（默认为null)secure-file-priv参数是用来限制LOAD DATA, SELECT … OUTFILE, and LOAD_FILE()传到哪个指定目录的。1、当secure_file_priv的值为null ，表示限制mys...

原创 LESS-5,LESS-6

LESS-5：源码：1、输入http://127.0.0.1/sqlilabs/Less-5/?id=1时没有出现错误：2、输入http://127.0.0.1/sqlilabs/Less-5/?id=268，没有出现显示位，不能使用union语句3、输入127.0.0.1/sqlilabs/Less-5/?id=1’进行错误分析，出现错误’’1’’LIMIT 0,1’除去收尾和自...

原创 LESS-3和LESS-4（sql注入）

LESS-3源码：1、输入？Id=1’后出现错误错误提示为”2”)LIMIT 0,1’.去掉前后两个单引号，和自己输入的一个单引号后还有两个单引号和一个括号，可推出sql注入中的由单引号和括号和起来的闭合模式。2、输入：http://127.0.0.1/sqlilabs/Less-3/?id=2’)–+url编码后：http://127.0.0.1/sqlilabs/Less-3/?...

原创 LESS2（sql注入）

Less2源码输入：http://127.0.0.1/sqlilabs/Less-2/?id=2’输出错误：You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘’ LIM...