- 博客(19)
- 收藏
- 关注
RSS订阅原创 命令执行总结
使用GET的a作为一个参数,传给c,再给1一个赋值,这样就可以跳过对c的过滤。嵌套include文件包含,利用伪协议文件包含。filter:通过指定的通道来读取指定的文件。不用base64读不到源文件。这里使用base64读取。&符号作为连接,并且。
2023-08-18 14:31:04
80
原创 xctf php2
id经过一次服务器url解码和urldecode解码以后=admin即可输出正确key。参数id URL解码也以后也不能是admin(因为服务器会进行一次URL解码)访问index.phps可以查看页面源码。所以我们将admin两次url加密即可。好久没打CTF了,随便做一道练练手。试着访问一下index.php页面。这里我找了很多在线工具都不好使。参数id不能等于admin。
2023-07-15 14:00:52
136
原创 ctfshow web261
<?phphighlight_file(__FILE__);class ctfshowvip{ public $username; public $password; public $code; public function __construct($u,$p){ $this->username=$u; $this->password=$p; } public function __wakeup()
2021-10-06 20:44:36
560
原创 ctfshow web259
知识点1.某个实例化的类,如果调用了一个不存在的函数会去调用__call魔术方法__call会发送一个请求2.CRLF \r\n3.POST数据提交最常用类型Content-Type:application/x-www-form-urlencoded<?phphighlight_file(__FILE__);$vip = unserialize($_GET['vip']);//vip can get flag one key$vip->getFlag();flag.
2021-09-26 23:45:53
1724
1
原创 [网鼎杯 2018]Fakebook
扫描目录发现/robots.txt flag.php发现备份文件下载下来<?phpclass UserInfo{ public $name = "tsz"; public $age = 10; public $blog = ""; public function __construct($name, $age, $blog) { $this->name = $name; $this->age = (in
2021-09-16 22:05:56
82
原创 [GXYCTF2019]BabySQli
知识点:联合查询的时候会插入联合查询的数据(数据仅在这次请求访问中存在,进行下条访问时,数据不会存在)首先进行注入点测试,发现用户名处是注入点而且是字符型注入登录后发现一串字符串MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5先base32解密再base64解密 得到select * from user where username = '$name
2021-09-16 15:41:42
98
原创 [网鼎杯 2020 青龙组]AreUSerialz
知识点 强弱类型的比较protect 序列化后会有%00*%00字符反序列化<?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename
2021-09-14 20:40:57
90
原创 ctfshow web8
整形注入判断是字符型还是整形注入1.检查是否存在注入2.空格过滤用/**/替换3. ,过滤:将limit 0,1样式改为limit 1 offset 0。将substr(string,1,1)改为substr(string from 1 for 1)。id=-1 /**/or /**/1=1 返回正确id=-1/**/or/**/1=2 错误没有回显应该是盲注说明是整形注入这里过滤了andimport requestsurl='http://e2312a42-19a7-4415-
2021-09-13 16:50:00
804
原创 CTFSHOW反序列化
CTFSHOW web258反序列化正则匹配class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public $class = 'info'; public function __construct(){ $this->class=new info(); } public functio
2021-09-11 11:29:35
177
原创 [ZJCTF 2019]NiZhuanSiWei
1.data伪协议写入文件2.php://filter 读取文件3.反序列化<?php $text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_con
2021-09-09 15:41:16
78
原创 [BJDCTF2020]Easy MD5
MD5($pass,true)的绕过MD5弱类型比较MD5强碰撞随便输入一个值进行查询抓包发现这里用万能密码ffifdyopffifdyop原理:ffifdyop哈希后会变成276f722736c95d99e921722cf9ed621c然而mysql数据库会把hex转ascii 正巧哈希后的字符串转ascii前几位是’ or ‘6 因此拼接入查询语句就成了select * from ‘admin’ where password=’’ or ‘6xxxxxxxxx’ 为一个永真式可以绕过
2021-09-07 17:43:08
121
原创 Strcmp()函数漏洞
注:php5.3之后的版本才有int strcmp ( string $str1 , string $str2 )参数 str1第一个字符串。str2第二个字符串。如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0;如果两者相等,返回 0。这个函数期望传入的变量为字符串类型,当传入其它类型的的时候比如数组,类会发生报错信息,同时也会return 0;虽然报错了,但是却返回了0,可等同于判断相等了<?php $password="*
2021-09-07 16:59:16
938
原创 BUUCTF [极客大挑战 2019]PHP
用dirsearch扫描网站目录根据命令 python dirsearch.py -u http://68b6f5c9-433a-4387-ab64-fd54034a861a.node4.buuoj.cn:81/ -e php -w 网站备份的字典路径找到一个www.zip 文件下载解压在index.php中发现如下代码文件包含了class.php文件GET传参可以通过select参数传参将变量select反序列化class.php<?phpinclude 'flag.php.
2021-09-07 12:16:22
159
原创 BUUCTF
BUUCTFGXYCTF2019]Ping Ping Ping通过测试貌似过滤的空格$IFS$9 可以代替空格发现过滤了flag尝试1.fla*不好使2 fla/g 不好使3.fla‘’g 不好使看到index里有一个变量$a于是想到用变量拼接
2021-09-02 00:13:23
528
原创 CTFSHOW misc入门
misc43题目提示根据提示中的错误想到用pngdebugger来分许发现发现所有IDAT块的crc32值都是错误的把错误信息存放到txt文档中结合提示把,错误的crc提取出来,hex转字符串得到flag这里附上脚本# coding=utf-8flag=""a=[]f=open("1.txt")for i in range(83): s=f.readline() a.append(s) if("CRC0" in a[i]): flag=flag
2021-08-31 23:39:00
927
原创 PE手动添加shellcode
1、用OllyDBG加载notepad,左下角command框中输入bp MessageBoxA下断点。查看断点即可得MessageBox地址为:0x755b10602、call和jmp指令地址的计算#include <stdio.h>#include <windows.h>void func(){ MessageBox(0, 0, 0, 0);}int main(){ func(); return 0;}main 函数的反汇编
2020-07-19 21:47:13
566
原创 RVA转换FOA
RVA->FOA已知内存地址adress1、如果RVA属于头(DOS+NT)那么不需要进行计算了.因为头在文件中根内存中都是一样展开的.直接从开始位置寻找到RVA个字节即可。2、如果不在头,就要判断在那个节里面. 判断节开始位置.跟结束位置. 我们的RVA在这个值里面.adress-ImageBase-VirtualAddress=该内存地址在该节的相对偏移值FOA=该内存地址在该节的相对偏移值+PointerTORawDATAFOA->RVAFOA-PointerTORawDAT
2020-07-19 20:54:12
1162
原创 PE增加一个节
#define _CRT_SECURE_NO_WARNINGS#include<stdio.h>#include<stdlib.h>#include<string.h>#include<Windows.h>#include<malloc.h>DWORD Read2file(LPSTR file_path, PVOID* pfilebuffer);char file_path[] = "C:\\CTF\\notepad.exe";
2020-07-10 08:56:13
369
原创 滴水逆向PE扩大最后一个节
#define _CRT_SECURE_NO_WARNINGS#include<stdio.h>#include<Windows.h>#include<malloc.h>char file_path[] = "C:\\CTF\\notepad.exe";char save_path[] = "C:\\CTF\\extend_note.exe";DWORD Fileread(char** Filebuffer) { FILE* fp = NULL; cha
2020-07-10 08:54:25
231
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人