- 博客(51)
- 收藏
- 关注
RSS订阅原创 Xray和burp联动 ef5eae8d3818408a9e4ec9bc792f82c9
首先用xray建立起webscan的端口监听。成功实现xray自动扫描burp的流量。修改配置文件中的代理地址。创建burp上游代理。
2023-02-21 23:36:13
183
原创 ctf.show_web4
查看题目发现题目要求get请求传输一个url参数,并且看到了include,估计需要使用伪协议进行包含,进行尝试http://28d722fe-b9a5-4ab9-887f-d07990104493.challenge.ctf.show/?url=php://input发现报错error,继续尝试其他协议发现都显示error尝试直接在后面加文件http://28d722fe-b9a5-4ab9-887f-d07990104493.challenge.ctf.show/?url=/etc/pa
2021-12-15 15:33:00
2729
原创 file_include-data
<?phpif(isset($_GET['file'])){ $file = $_GET['file']; if(preg_match("/php|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=|\./i", $file)){ //如果file参数中存在这么多元素就显示errer die("error"); } include($file);}else{ highlight_file(_
2021-12-02 17:29:07
3037
原创 file_include-guolvphpdata
访问题目地址,发现php代码分析一下代码<?phpif(isset($_GET['file'])){ $file = $_GET['file']; //GET传递file参数 $file = str_replace("php", "???", $file); //将php转换成??? $file = str_replace("data", "???", $file); //将data转换成??? $file = str_replace(":", "?
2021-12-02 16:20:58
300
原创 CTF竞技平台_file_include-guolvphp
打开题目,发现了php代码<?phpif(isset($_GET['file'])){ $file = $_GET['file']; //GET传入参数file $file = str_replace("php", "???", $file); //将传入的file参数中的php转换为??? include($file);}else{ highlight_file(__FILE__);}参考知识点发现是个简单的过滤方式,这时候想到可以用data
2021-12-02 14:28:58
647
原创 漏洞复现-CVE-2014-3120-ElasticSearch 命令执行漏洞
漏洞复现-CVE-2014-3120-ElasticSearch 命令执行漏洞漏洞原理老版本ElasticSearch支持传入动态脚本(MVEL)来执行一些复杂的操作,而MVEL可执行Java代码,而且没有沙盒,所以我们可以直接执行任意代码。知识点普及:1、Elasticsearch,是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java语言开发的,并作为Apache许可条款下的开放源码发布,是一种流行的
2021-10-20 16:13:19
496
1
原创 BMZCTF_WEB_ezeval
查看代码<?phphighlight_file(__FILE__);$cmd=$_POST['cmd'];$cmd=htmlspecialchars($cmd);$black_list=array('php','echo','`','preg','server','chr','decode','html','md5','post','get','file','session','ascii','eval','replace','assert','exec','cookie','$','in.
2021-09-24 15:12:01
221
1
原创 bmzctf_强网杯 2019 随便注
直接访问目标地址,看到输入框,尝试任意输入输入1’输入1’ #返回正常,确认存在注入输入1’ order by 2 # 返回正常输入1’ order by 3 # 返回报错再试着输入select测试返回点:1’ union select 1,2 #,发现select被过滤尝试堆叠注入:1’;show databases; #输入 1’;show tables; #输入 1’;show columns from flagg#输入 -1’;use supersqli;set
2021-09-24 11:14:59
140
原创 攻防世界_PHP2
访问目标地址,发现只有一句话提示源码里面没找到什么提示,尝试扫目录,发现了一个index.phps,里面存在php代码整体逻辑就是传入一个id参数,当这个参数完全等于admin时,不可以访问,但是想得到key需要这个值和admin相等,并且浏览器会自动进行一次url解码注:所以判断将admin进行两次url编码赋值给id,应该就可以了,构造payload并尝试http://111.200.241.244:63848/?id=%25%36%31%25%36%34%25%36%64%25%36%
2021-09-22 16:30:07
92
原创 攻防世界_NewsCenter
访问目标地址,发现是一个叫做黑客新闻的页面随便输入了一下,发现是一个post传输的参数,并且明文传输,初步判断可能存在注入加入一个单引号看一下,可以发现确实报错了再在后面加入#试一下可以发现确实是存在注入的,且第一个单引号闭合了输入逻辑,#注释掉了后面的单引号,试着找一下字段数吧asd'union select 1,2,3 # 使用该语句时未报错,当数字为1或者1,2时报错,得出字段数为3看页面回显发现,能够显示的位置为,二号位和三号位,之后可以在二号位和三号位输入执行语句
2021-09-22 15:03:06
128
原创 Bugku_需要管理员
直接访问目标地址,发现是一个404页面查看源码也没有发现什么有用的提示,所以尝试爆破目录这里爆破出了一个robots.txt,查看一下发现robots.txt中提示了一个php文件,尝试访问可以看到在下方有一行代码,定义了一个传入的参数x,但是并没有告诉这个x应该是什么值if ($_GET[x]==$password)试着爆破这个值可以看到当x=admin时,应该是可以正常访问的构造payload并访问:http://114.67.246.176:16192/resusl.ph.
2021-09-18 08:59:33
1035
原创 BugKu_程序员本地网站
直接访问目标地址看到只有一个“请从本地访问的提示”,尝试伪造xff只需要在请求头中加入 X-Forwarded-For: 127.0.0.1即可成功得到flag!
2021-09-16 17:02:29
302
原创 BugKu_文件上传
直接访问目标地址,发现他给了一个上传点看到他的提示让上传一个图片,不能上传php,那就先上传一个正常图片看看是什么样子的可以看到上传成功后是直接给出上传后的地址的,并且还给出了超链接,那么来尝试一下上传木马直接爆破后缀,失败,尝试绕过限制讲请求包中的Content-Type: multipart/form-data,修改成Content-Type: Multipart/form-data(将m大写),再次爆破后缀名,发现php4上传成功了掏出蚁剑尝试连接shell成功getshel.
2021-09-16 10:16:29
681
原创 BugKu_点login咋没反应
直接访问目标地址看到一个登录框,但是不管输入什么点击登录都没有反应,f12查看一下源码看到了一个admin.css,是一个超链接,点击看看看到了一个/* try ?11268 */,看起来像是要传参的,试一下,果然发现了php代码分析一下代码<?phperror_reporting(0);$KEY='ctf.bugku.com';include_once("flag.php");$cookie = $_COOKIE['BUGKU'];if(isset($_GET['112.
2021-09-10 10:40:38
559
原创 BugKu_getshell
访问目标地址看到是php的代码,格式应该是经过混淆加密的推荐一个节省时间的网站: https://www.zhaoyuanma.com/phpjm.html解出来发现是一个木马,试着用蚁剑连接一下,成功!但是执行命令的时候显示red=127,猜测应该是有disable_functions对执行命令的函数进行限制,查看phpinfo确认一下果然禁止的差不多了,试着用蚁剑插件市场下载的绕过工具进行绕过!看到插件中显示的绕过需要的条件都满足了,直接点击开始,他会在当前目录下传文件使用蚁.
2021-09-07 16:37:44
2456
2
原创 Bugku_你从哪里来
访问目标地址看到页面上的提示,你是来自google么,抓包看到请求中没有referer参数,想到定义一个referer并且指向google应该就可以了成功得到flag注:
2021-09-06 15:46:20
165
原创 BugKu_login1
直接访问目标地址,发现是一个管理系统的页面这时候看到了提示题目给的提示: hint:SQL约束攻击,去百度了一下知识点简单总结利用方法就是:在sql的搜索中,admin等同于admin+若干空格,而admin和admin+若干空格可以分别创建账号,在登录时输入admin,则会调用admin们的密码,只要有匹配成功的即可登录,实现任意用户登录回到题,根据题目的login可以猜想,利用sql约束成功登录应该就可以得到flag,先随便创建一个账号试试。随便创建的用户显示不是管理员权限,那么在创建.
2021-09-06 15:12:12
465
1
原创 BugKu_python_jail
看到提示了nc 114.67.246.176 13828在终端连接nc这时候看到了描述中的提示,flag在flag变量里面!尝试打印flag变量发现他报错了,再尝试下任意打印一个字符串试一下任意输入的字符a被成功打印,猜测应该是对输入的长度进行限制打印“aa”又报错了,猜测输入的字符长度应该被限制在10以内这时候想到help函数,借助报错信息应该可以带出flag成功得到flag!...
2021-08-24 16:28:37
799
原创 BugKu_瑞士军刀
看到下面本该是目标地址的位置,出现了一行命令,直接复制到终端ls查看目录发现查看成功,并在下面发现了flag文件,尝试查看成功得到flag!温馨提示:此题性价比极低,并不推荐做
2021-08-19 09:09:49
737
原创 BugKu_闪电十六鞭
访问目标地址发现了一段php代码,又是代码审计的问题分析代码<?php error_reporting(0); require __DIR__.'/flag.php'; $exam = 'return\''.sha1(time()).'\';'; if (!isset($_GET['flag'])) { echo '<a href="./?flag='.$exam.'">Click here</a>'; }.
2021-08-17 10:58:42
1043
原创 BugKu_xxx二手交易市场
访问目标地址,发现是一个二手交易网站看到一些功能需要登录才能使用,选择注册一个账号登录好之后,随便翻看一些功能点,可以看到id参数理所应当的想到了注入,但是尝试未果,选择换个思路在个人资料处看到了更换头像的功能,这是一个上传点!抓包看看!可以看到他是把image后面的内容base64加密了,试着模仿他的格式把木马加密试试可以看到上传成功,并且返回了路径,尝试连接这个木马成功得到flag!...
2021-08-16 16:30:58
181
原创 BugKu_聪明的php
访问目标地址!看到他的提示,随意传输一个参数,尝试传入一个a可以看到传入的参数直接被打印了出来,并且显示了源码先尝试一下phpinfo能不能正常打印吧,http://114.67.246.176:10575/?a=${phpinfo()}发现phpinfo可以正常回显,回过头看源码,发现ban了大量的命令执行的函数,尝试使用passthru()http://114.67.246.176:10575/?a=${passthru(%22ls%22)发现执行成功,然后就是漫长的找fla.
2021-08-16 11:10:59
163
原创 BugKu_成绩查询
访问目标地址可以看到是个成绩查询的简单小功能,输入一个1抓包试试可以看到一个id参数,疑似注入,上sqlmap!存在注入!最后也是成功得到flag!
2021-08-12 10:18:20
132
原创 BugKu_shell
访问目标地址,可以发现是一个空白页根据描述中说的马,最后是($_GET[‘s’]),所以应该是传入一个s参数发现whoami执行成功了,接下来看下都有什么文件找找flag在哪里查看这个flag什么什么的文件成功得到flag!...
2021-08-12 09:49:56
1057
原创 BugKu_never_give_up
直接访问目标地址因为没有什么明显的提示,所以尝试看源码!可以看到源码中是提示了一个1p.html的,尝试访问这个文件发现他直接跳转到了bugku的一个论坛,所以判断1p.html是存在跳转设置的,抓包看下看到这堆字符串的开头是%3C,应该是url编码,尝试解码解出来看格式,应该是base64,继续解码!成功得到代码!";if(!$_GET['id']){ header('Location: hello.php?id=1'); exit();}$id=$_GET['id'.
2021-08-11 11:16:04
706
原创 BugKu_cookies
访问目标地址,发现了一串不知道在表达什么的字符串看到url最后是一个base64加密了的字符串“a2V5cy50eHQ=”,尝试解码尝试用 filename访问index.php(原url使用base64,这也将index.php进行编码),line参数应该是行数,试一下 line=2那么尝试把line改成3看看会发生什么呢到这里可以猜测,每改一次行数就会显示一行源码!我们尝试把line改成20的时候,发现是个空白页,不断减少范围,发现共有18行源代码!构造脚本!代码如下:im.
2021-08-10 10:23:14
423
原创 BugKu_文件包含
直接访问目标地址发现有一个跳转链接,点击尝试,发现跳转到/index.php?file=show.php看他的url还有题目名字,确定这里应该就是文件包含的漏洞点了CTF中经常使用的是php://filter和php://inputphp://filter 用于读取源码php://input 用于执行php代码php://filter/read=convert.base64-encode/resource=[文件名] 用于读取文件.
2021-08-06 14:54:29
352
2
原创 BugKu_源代码
访问目标地址,发现一个输入框,还有一个让查看源代码的提示跟着提示走,右键查看源代码可以看到9、10行是url编码后的代码,猜测这里就是解题的关键复制下来,进行解密试试注:http://tool.chinaz.com/tools/urlencode.aspx根据源码中的逻辑提示进行拼接将解密后的代码拼接好之后进行美化,方便查看注:https://beautifier.io/根据代码,将if后的字符串写到题中的输入框里面,成功得到flag!...
2021-08-06 10:24:01
779
原创 Linux查看异常
Linux查看异常的方式日志文件说明/var/log/message 系统启动后的信息和错误日志(常用)/var/log/secure 与安全相关的日志文件/var/log/maillog 与邮件相关的日志信息/var/log/cron 与定时任务相关的日志信息/var/log/spooler 与UUCP和news设备相关的日志信息/var/log/boot.log 守护进程启动和停止相关的日志消息系统uname -a 查看内核/操作系统/CPU信息cat /e
2021-08-03 16:24:50
676
原创 BugKu_变量1
访问目标地址,发现又是代码审计的问题…抓住两个地方,一个是正则表达式匹配,不匹配则直接pass,该正则表达式应该是匹配都是字母的串。然后最关键的是最后的KaTeX parse error: Can't use function '$' in math mode at position 17: …rgs,这是可变变量的意思,如$̲args的值是另一个变量的变量…args就代表另一个变量。所以我们就给args赋值一个变量名,那么PHP的九大全局变量,一个一个试,并且eval函数可以让传入的变量执行。尝.
2021-08-03 16:20:29
501
1
原创 BugKu_eval
访问目标地址,发现一段php代码首先做一个简单的分析<?php include "flag.php"; ///include是将flag.php文件包含进页面代码,顺便提示了flag位置 $a = @$_REQUEST['hello']; ///$_REQUEST可以用于接受get和post传递的参数 eval( "var_dump($a);"); ///eval函数可以把字符串当作php命令执行 show_source(__FILE__);?&g.
2021-08-03 09:45:09
1623
原创 SQL注入
手工SQL注入学习笔记数字不断增加直到报错消失,可判断出字段长度union select 1,2,3,4加入字段数为4,database()代替4进行占位,用来执行命令,可查询库名union select 1,2,3,database()geoup_concat(table_name)用来占位,查询后面指定的数据库中的表union select 1,2,3,group_concat(table_name) from information_schema.tables where table_
2021-07-30 15:30:00
75
2
原创 kali配置redis环境
kali环境下配置redis-cli下载redis包wget http://download.redis.io/releases/redis-3.2.0.tar.gz解压redistar zxf redis-3.2.0.tar.gzcd redis-3.2.0自动调用环境并编译makecd src将redis-server和redis-cli拷贝到/usr/bin目录下,这样启动他们就不用每次到redis目录中cp redis-server /usr/bincp redis
2021-07-30 15:24:11
1006
原创 Python2和Python3共存时使用pip
Python2和Python3共存时使用pippython2安装pipapt install python-pippython3安装pipapt install python3-pip共存时Python2使用pippython2 -m pip insyall XXX共存时Python3使用pippython3 -m pip insyall XXX
2021-07-30 15:21:56
73
原创 解决Nmap扫描出现的延时
解决nmap 扫描出现的延时nmap 官网详细介绍了扫描速度的控制和如何规避IDS/IPS https://nmap.org/man/zh/man-performance.html 默认情况下nmap 使用T3 选项, 在网络稳定下可以使用T5 选项或者T4选项。nmap -sA 扫描主机侦测防火墙查看过滤,检测防火墙功能nmap -sU -p 扫描指定的UDP端口 也可以去掉-P 对主机进行UDP端口扫描nmap -sT -p 扫描指定的UDP端口 也可以去掉-P 对主机进行TCP端
2021-07-30 15:20:28
3285
原创 Kali安装docker环境
kali安装docker环境使用清华镜像,保证docker官网拉取的速度curl -fsSL https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian/gpg | sudo apt-key add -配置基于Debian版本的docker环境echo 'deb https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian/ buster stable' | sudo tee /e
2021-07-30 15:13:46
356
原创 Wireshark过滤规则
ip.src == xx.xx.xx.xx 过滤源ipip.dst == xx.xx.xx.xx 过滤目标iptcp.prot == 80 过滤所有80端口tcp.srcport == 80 过滤源端口为80udp.port == 53 过滤udp端口tcp.dstport >= 80 过滤大于等于80的目标iphttp or arp 过滤http包和arp包ip.src == xx.xx.xx.xx and ip.dst == xx.xx.xx.xx 过滤从源ip到目标ip的所
2021-07-30 15:09:28
700
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人