qq_44657899的博客

文章目录CTFSHOW-XXEweb373CTFSHOW-XXEweb373

文章目录基础知识基础知识实例初始化一个新的cURL会话并获取一个网页<?php// 创建一个新cURL资源$ch = curl_init();// 设置URL和相应的选项curl_setopt($ch, CURLOPT_URL, "http://www.runoob.com/");curl_setopt($ch, CURLOPT_HEADER, 0);// 抓取URL并把它传递给浏览器curl_exec($ch);// 关闭cURL资源，并且释放系统资源curl_clo

文章目录web254web255web256web257web258web254正常传参即可index.php?username=xxxxxx&password=xxxxxxweb255<?phpclass ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=true;}$a = new ctfShowUser();echo urlencod

arjun安装下载地址 s0md3v /Arjun cd Arjun-2.1.4pip3 install arjunpy -3 setup.py install如果输入arjun -h有如下输出则安装成功解题首先使用arjun爆破参数arjun -u http://aac8b7e4-008f-486a-9642-232db8c62642.node4.buuoj.cn:81/ -c 100 -d 5参数：-d DELAY Delay between requests in secon

参考谈escapeshellarg绕过与参数注入漏洞函数作用escapeshellarg() 给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号escapeshellcmd() 反斜线（\）会在以下字符之前插入： &#;`|*?~<>^()[]{}$\, \x0A 和 \xFF。 ' 和 " 仅在不配对儿的时候被转义。1、首先给用户输入的字符加单引号不一定能防止命令执行，可以看到我们-c 2被加上单引号后依旧被执行了ping '-c 2' 127.0

文章目录0x010x03 web3_莫负婵娟 （LIKE盲注、$PATH环境变量截取字母）0x010x03 web3_莫负婵娟 （LIKE盲注、$PATH环境变量截取字母）在登录页面的源代码中可以看到一些提示用户名为yu22x，查询语句为like，可以使用通配符%和_。百分比(%)通配符允许匹配任何字符串的零个或多个字符。下划线_通配符允许匹配任何单个字符。fuzz了一下，被过滤的有这些字符，%号被过滤了，我们可以使用_写个脚本测试一下密码长度import requestsheade

文章目录前言web171web172web173web174web175前言最近发现对sql注入的相关知识点有点生疏和忘记了，做做ctfhshow的sql注入来巩固和学习一些新姿势。web171直接union注入即可# 判断列数' order by 3 --+# 查数据库名' union select 1,2,database() --+# 查表名' union select 1,2,concat(table_name) from information_schema.tables

首先，拿到这种cms的题，1，要先判断是什么类型的cms2，搜索这种cms的漏洞。3，利用该漏洞一，判断cms：1，在该站内找找有没有什么标识，这道题的标识在下载处有cmseasy2，搜索手机版 - 购物车 - 留言 - 繁体 - 注册 / 登陆，可以在网上找到一大堆相同cms的网站。在下方找到了cms名字:3，看到这里有详细的信息，百度一下。二，查找easycms...

百度杯-九月场-code打开是一张图片，参数jpg可以读取文件，将参数改为index.php成功读取到base64加密后的源码：<?php/** * Created by PhpStorm. * Date: 2015/11/16 * Time: 1:31 */header('content-type:text/html;charset=utf-8');if(! isset(...

这段时间联系一下SQL注入：墨者SQL手工注入专题三种数据库的注入详解数据库:MySQLMySQL的很简单1，查字段数http://mozhe.cn/new_list.php?id=0 order by 5 时报错，说明字段有5个2，查数据库http://mozhe.cn/new_list.php?id=0 union select 1,SCHEMA_NAME,3,4 from i...

文章目录MISCall神奇的Modbus（送分）embarrass（送分）Training-Stegano-1（送分）Test-flag-please-ignore（16进制转字符）stage1（图片隐写，反编译）Hear-with-your-Eyes（音频隐写-频谱图）MISCall神奇的Modbus（送分）日期：2020/02/04题目说了Modbus，百度了一下是一个通讯协议。先...

Training-Stegano-1直接用winhex打开得到flag。János-the-Ripper解压出来winhex发现仍是压缩文件，改后缀为zip，打开后是txt加密文件。然后用ARCHPR爆破Test-flag-please-ignore解压后打开是一串字符。666c61677b68656c6c6f5f776f726c647d发现没有f以后的字符猜测是16进制，解...

command_execution题目描述：小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的，你知道为什么吗。题目相关知识点：一，windows系统有哪些命令行拼接符。A&B简单的拼接，A与B同时执行。A&&BA执行成功，则执行B。A|BA命令的输出作为B命令的输入执行。A||B若A命令执行失败，则执行B命令。二，fi...

文章目录矛盾矛盾$num=$_GET['num'];if(!is_numeric($num)){echo $num;if($num==1)echo 'flag{**********}';}1，PHP是一门弱类型语。2，PHP中"=="只判断值是否相等。所以只要是1开头后面接字母的字符串都行。...

re模块：'.' 匹配所有字符串，除\n以外‘-’ 表示范围[0-9]'*' 匹配前面的子表达式零次或多次。要匹配 * 字符，请使用 \*。'+' 匹配前面的子表达式一次或多次。要匹配 + 字符，请使用 \+'^' 匹配字符串开头‘$’ 匹配字符串结尾 re'\' 转义字符， 使后一个字符改变原来的意思，如果字符串中有字符*需要匹配，可以\*或者字符集[*] re.findall(r...

文章目录了解fastapi题解了解fastapifastapi的官方文档：https://fastapi.tiangolo.com/zh/根据官方文档所说，fastapi是一个web框架，感觉和flask差不多然后下载fastapi试试：pip install fastapipip install uvicorn安装好之后把文档里的示例代码运行一下main.py运行：uvicorn main:app --reload看到了和文档差不多的结果，然后访问http://127.0

<?php/*# -*- coding: utf-8 -*-# @Author: Firebasky# @Date: 2020-09-16 11:25:09# @Last Modified by: h1xa# @Last Modified time: 2020-10-01 15:08:19*/include('flag.php');highlight_file(__FILE__);error_reporting(0);function filter($num){.

文章目录题目PHP的反射类ReflectionClass、ReflectionMethodPHP异常处理 Exception题目题目源码如下： <?php/*# -*- coding: utf-8 -*-# @Author: h1xa# @Date: 2020-09-16 11:25:09# @Last Modified by: h1xa# @Last Modified time: 2020-09-29 22:02:34*/highlight_file(__FIL

源码如下： <?php/*# -*- coding: utf-8 -*-# @Author: yu22x# @Date: 2020-09-16 11:25:09# @Last Modified by: h1xa# @Last Modified time: 2020-10-01 18:16:59*/highlight_file(__FILE__);error_reporting(0);function filter($x){ if(preg_match('/ht

前言之前做过一道红包题第二弹，这里也是同样的解法，但是新学到了很多知识点，记录一下。这个解法，p神的文章讲的很清楚无字母数字webshell之提高篇文章目录前言glob通配符. 执行文件不需要x权限题解glob通配符因为只有PHP生成的临时文件包含大写字母，所以可以用/???/????????[@-[]来匹配我们上传的临时文件。原理：翻开ascii码表，可见大写字母位于@与[之间：那么，我们可以利用[@-[]来表示大写字母：. 执行文件不需要x权限题解注意传参方式为POST。

文章目录萌新赛web_给她萌新赛web_给她首先由题目给她可以联想出git源码泄露。得到的源码如下：<?php$pass=sprintf("and pass='%s'",addslashes($_GET['pass']));$sql=sprintf("select * from user where name='%s' $pass",addslashes($_GET['name']));?>这里有个sprintf()函数没有看到过，搜了搜它的作用和漏洞，看到一个和本题很像的例子

下载下来一个压缩包打开里面有一个音频，于是我就上当了，一直在mp3里找。后来看了wp才知道，zip里面隐藏了一个图片，用foremost分离出来。然后可以用steghide检测到隐藏信息，密码是猜的123456。命令如下，第一个用来检测，第二个分离出flag.txt.\steghide.exe info .\a.jpg.\steghide.exe extract -sf .\00017508.jpg发现是base64格式的字符串，解密得https://www.lanzous.com

颖奇L’Amore师傅wp这道题啥也不会，总结下知识点吧。文章目录0x01 PHP上传机制0x02 PHP命令执行0x03 通配符与无字母数组命令执行解题0x01 PHP上传机制php文件上传时会先将上传的文件保存到upload_tmp_dir该配置目录下，这里为/tmp，而上传页面只负责把该文件拷贝到目标目录。也就是说不管该php页面有没有文件上传功能，我们只要上传了文件，该文件就会被上传到upload_tmp_dir配置的目录下，上传完后会被删除。这里本地实验了一下，的确如此，我使用的是wi

解压后得到以下文件：压缩包里面有一张图片，发现每张图片最后都有一段base64，然后尝试全部提取出来，因为文件比较多所以只能用脚本了，我写的简易脚本如下：import zipfilefor i in range(1, 87): # 读取压缩包 z = zipfile.ZipFile('D:\desktop/flag/' + str(i)+'.zip', 'r') # 读取压缩包内的图片内容 filename = z.namelist()[0]

文章目录0X01 Guzzle简介0X01 Guzzle实验【GET请求】【POST请求】【设置代理IP】0X01 Guzzle简介Guzzle是一个使得利用PHP实现发送HTTP 请求，方便和web service集成的PHP 客户端模拟组件。Guzzle介绍简单的接口构建query string，POST requests,streaming large uploads/downloads,使用HTTP cookies,上传json data等。可以使用相同的接口来发送同步和异步的请求。使用

文章目录[GKCTF2020]CheckIN[GKCTF2020]cve版签到[GKCTF2020]老八小超市儿（shopxo后台全版本拿shell）[GKCTF2020]EZ三剑客-EzWeb（redis未授权访问）一，信息收集二，bp扫C段：三，扫端口四，利用脚本生成payload[GKCTF2020]CheckIN[GKCTF2020]cve版签到[GKCTF2020]老八小超市儿（shopxo后台全版本拿shell）渗透测试|shopxo后台全版本获取shell复现跟着这篇文章一步步做就能

这道题感觉和之前做过的[V&N2020 公开赛]CHECKIN很像，这道题多考了个/proc/self。记录一下这个目录的作用吧。/proc/self/目录的意义我们都知道可以通过/proc/$pid/来获取指定进程的信息，例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息，就可以通过进程的pid来访问/proc/$pid/目录。但是这个方法还需要获取进程pid，在fork、daemon等情况下pid还可能发生变化。为了更方便的获取本进程的信息，linux提供了/proc/s

<?phperror_reporting(0);if (isset($_GET['source'])) { show_source(__FILE__); exit();}function is_valid($str) { $banword = [ // no path traversal '\.\.', // no stream wrapper '(php|file|glob|data|tp|zip|zlib|phar):', // n.

在做这道题之前，完全不会nodejs。于是这道题也看不懂，于是打算学习学习nodejs。文章目录app.js代码学习第一部分第二部分第三部分第四部分controllers/api.js部分学习app.js代码学习首先是/static/js/app.js的代码。/** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置？不管了先填个根目录XD */function login() { const username = $("#username").val();

这道题我在vps上实验了一下，对于linux的理解又加深了。知识点：文件描述符，在linux里，当一个进程打开某个文件直到关闭前，该进程会获得文件描述符，而文件描述符里有文件的内容，即便已经将文件删除，只是删除了其相应的目录索引节点，若进程依然存在没被关闭的话，就依然可以通过文件提供给它的文件描述符进行操作。/proc/[pid]/fd这个目录里包含了进程打开文件的情况，pid就是进程记录的打开文件的序号。实验：读取内存中的flag内容使用命令：lsoflsof命令可以查看进程打开那些文件

223.87.241.22 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"]; $sandbox

做这道题之前还一直不知道反弹shell是怎么操作的，做完之后恍然大悟，刷题真香首先题目中提示了.swp，应该是.swp源码泄露，然后试了试/index.php.swp毫无反应，看了wp之后才知道是/.index.php.swp。。。幸好不是比赛，不然简直被自己蠢死然后下载下来，拖到kali里用命令vim -r index.php.swp恢复文件，源码：看了看过滤，只过滤了cat，天真的我以为用tac就行了。。。结果事情远远没有这么简单，exec()函数是没有回显的，我还一直以为exec()和sys

<?phperror_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_matc

这道题感觉很难，要是比赛中出这种题我肯定做不来，所以我耐着性子慢慢分析这道题，最后居然自己做了个七七八八，只剩下一点点就完全做出来了。下面把我做这道题时的思路一步一步记录下来，希望能够彻底巩固。一，信息收集拿到题没有什么思路，先找找线索，从源码和题目里没看到什么提示。试了试万能密码登录也无果，然后试着扫目录和用burp抓包找提示。发现有www.zip源码泄露。二，分析源码对于代码审...

题目首先提示了flag的位置，结合题目名字ssrf，可以得到一个大概的思路。然后打开题目，直接给了源码：#! /usr/bin/env python#encoding=utf-8from flask import Flaskfrom flask import requestimport socketimport hashlibimport urllibimport sysim...

因为是看了wp才做出来的，所以就直接记录过程和知识点了。知识点：SSRFSSRF,也就是Server Side RequestForgery—服务器端请求伪造。从字面上来看，与CSRF不同的是，它是服务器端发出的请求伪造而非从用户一端提交。别误会，作为受信任用户，服务器当然不可能做出损害用户信息的事。它是一种由攻击者构造形成，由服务端发起请求的一个安全漏洞。因为它是由服务端发起的，所以它能够请...

这道题过滤了常用的语句，还过滤了空格和/**/，一番分析之下发现果然我这种菜鸡只能看wp了。然后学会了一种新的思路0^(ascii(substr((select(flag)from(flag)),1,1))=ascii('f'))脚本：import requestsimport timeurl='http://76eeac1c-8521-4f23-83f5-9e41b5f7b2d4.n...

模式 含义PHP_INI_USER 可在用户脚本（例如 ini_set()）或 Windows 注册表（自 PHP 5.3 起）以及 .user.ini 中设定PHP_INI_PERDIR 可在 php.ini，.htaccess 或 httpd.conf 中设定PHP_INI_SYSTEM 可在 php.ini 或 httpd.conf 中设定PHP_INI_ALL 可在任何地方设定

先下载www.tar.gz的文件，里面有很多的PHP文件，随便打开一个可以看到里面有shell，不过太多了，又要用脚本来筛选了。不过网上看到很多脚本，有简单的，不过要跑很久(反正我没跑总出来)，跑的快的BUUCTF又跑不了。于是我用PHPstudy跑出来再去buuctf上拿flag，直接把src文件放到www下，然后开启PHPstudy访问就行了这里先借用大佬写的脚本跑跑：import...

先随便注册一个账号进去看看。在index的源码处找到提示，you are not admin，估计是要用admin的身份登录才会有flag。然后在change的源码找到了网站项目的github地址：下载下来是一个flask项目，这里看了看wp知道要看路由route.py，然而我这种菜鸡是看不懂的。有三种解题方法，不过看其他wp第三种都没有实现。一，flask session伪造：这...