- 博客(20)
- 收藏
- 关注
RSS订阅原创 攻防世界web进阶区之ics-05
打开题目所给链接一个接一个点,发下只有设备维护中心可以点开单机云平台设备中心会发现URL栏有参数?page=index,本题可能存在文件漏洞,采用php协议,用?page=php://filter/read=convert.base64-encode/resource=index.php查看页面源代码解码后分析原码,可以利用在线解码工具解码,分析代码伪造XFF头来登入系统,payload:/index.php?pat=/123/e&rep=system(“find±iname+flag”)&
2020-07-31 13:13:23
231
原创 攻防世界web进阶区之web2
点开题目所给链接得到一堆代码题目已经把解法给我们说的很明确了,直接上代码即可得到flag:{NSCTF_b73d5adfb819c64603d7237fa0d52977}
2020-07-31 10:20:11
218
原创 攻防世界web进阶区之unserialize3
打开题目所给链接得到一堆代码我们要绕过__wakeup这个魔术函数,不然就会被exit掉,我们这里实例化xctf类并对其使用序列化我们将上述的序列化的字符串中的对象属性个数由真实值1修改为2,即O:4:“xctf”:2:{s:4:“flag”;s:3:“111”;},即可得到flag。 cyberpeace{5ddefc2853168af40bc99f8182951fa5}...
2020-07-30 16:26:56
207
原创 攻防世界web进阶区之Web_php_include
代码审计后我们会发现存在文件包含漏洞。借助hello参数构建payload:?page=http://127.0.0.1/index.php/?hello=<?system("ls")?>然后借助参数?page=http://127.0.0.1/index.php/?hello=<?show_source("fl4gisisish3r3.php");?>即可得到flagctf{876a5fca-96c6-4cbd-9075-46f0c89475d2}...
2020-07-30 12:17:46
364
原创 攻防世界web进阶区之Web_php_unserialize
打开题目链接会得到一堆代码通过 //the secret is in the fl4g.php 这句话我们可以看出来我们所需要的flag在fl4g.php中,我们需要通过反序列化才能得到fl4g.php里边的内容,借鉴下别人的代码通过在线运行工具我们就可以解出所需参数TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==传参 ?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZml
2020-07-30 11:22:47
424
原创 攻防世界web进阶区之mfw
打开题目所给链接:首先查看源码,会发现这个但访问之后没什么用。我们点开About会发现它似乎存在git源码泄露,访问/.git/抓包后发现flag.php但对解题没什么作用,我们查看index.php看是否能找到猫腻我们利用assert命令执行来查看flag的内容 payload:?page=1’,‘2’) === false and system(‘cat templates/flag.php’) and strpos('templates/flag ,查看源码即可得到flagcyberpeace{
2020-07-25 12:23:44
191
原创 攻防世界web进阶区之CAT
打开题目所给链接:首先我们先试用最具有代表性之一的baidu.com进行检测,但发现无响应来试试127.0.0.1尝试使用管道进行命令执行,输入127.0.0.1 | ls,然而得到的回显是Invalid URL,127.0.0.1 | phpinfo的执行结果也是Invalid URL,看来命令执行时行不通了。payload:?url=@/opt/api/api/settings.py,获取数据库名观察代码发现?/opt/api/database.sqlite3 @会当成绝对路径来读取文件,刚好@字符
2020-07-24 21:19:21
196
原创 攻防世界web进阶区之fakebook
首先,打开题目链接:点击join创造一个新用户,创建完成后如图所示: 我们会发现这个blank可以点开,这里存在一个get注入我们会发现/var/www/html/view.php 路径,利用no参数进行注入,在反序列化中构造file文件协议,利用服务端请求伪造漏洞访问服务器上的flag.php文件。Payload:?no=0//union//select 1,2,3,'O:8:“UserInfo”:3:{s:4:“name”;s:1:“1”;s:3:“age”;i:1;s:4:“blog”;s:29:“
2020-07-24 20:24:34
211
原创 攻防世界web进阶区之shrine
点开题目所给链接:首先查看它的源代码:我们首先尝试一下注入,在/shrine/路径下注入{{1+1}}:发现果然可以,我们还会发现他把config和self加入了黑名单我们用搜索writeup大法给出的payload为{{get_flashed_messages.globals[‘current_app’].config[‘FLAG’]}}即可得到flagflag{shrine_is_good_ssti}...
2020-07-22 18:41:32
352
原创 攻防世界web进阶区之easytornado
点开题目所给链接:会发现有三个链接,查看其他页面:/flag.txt:/welcome.txt:/hints.txt:我们通过第一个页面会发现flag藏于fllllllllllllag之中,所以我们直接输入/fllllllllllllag尝试,跳转页面会报错:此时我们通过error?msg={{ handler.settings }}传递得到cookie secret: 0df815ab-9f5c-4d1a-aa18-b8d0ebaa5edc,/fllllllllllllag的MD5为 3bf9f6cf
2020-07-22 18:25:25
332
原创 攻防世界web进阶区之supersqli
打开题目所给链接:首先我们先探测其有无注入:1’ 报错1’# 正常且为True1’ and 1=1# 正常且为True1’ and 1=2# 正常且为False所以它里边存在注入。用1’ or extractvalue(rand(),concat(0x7e,database())) #爆出数据库名:用0’; use supersqli; show tables;爆出表明:用0’; use supersqli; show columns from 1919810931114514; #
2020-07-16 16:58:15
432
3
原创 攻防世界web进阶区之Web_python_template_injection
点开题目所给链接:我们通过 {{1+1}} 判断了它存在phthon模块注入:通过 http://220.249.52.133:36210/%7B%7B’’.class.mro[2].subclasses()%7D%7D访问所有模块。我们可以借用 os.popen来读取我们想要的flag文件里的信息构造http://220.249.52.133:36210/%7B%7B’’.class.mro[2].subclasses()[71]%E3%80%80%E3%80%80.init.globals[‘
2020-07-16 16:25:30
281
原创 攻防世界web进阶区之PHP2
打开题目所给链接:我们会发现源码泄露,加上index.phps后缀,跟进:先查看页面的源代码:分析代码,解出 ?id=%2561dmin ,继续跟进,就会得到flag:Key: cyberpeace{65499fae1ff8ee255cf19790862ede40}
2020-07-16 15:49:29
190
原创 攻防世界web进阶区之warmup
刚点开所给的界面,发现是一张大大的滑稽,我们可以直接查看它的源代码。在这里会发现其中有一个soure.php,发现线索后就跟进它。跟进后:会发现里边还有一个hint.php,继续跟进:我们会发现提示:flag not here, and flag in ffffllllaaaagggg.通过分析我们构造 ?file=source.php?/…/…/…/…/ffffllllaaaagggg 参数,继续跟进:即得到flag{25e7bce6005c4e0c983fb97297ac6e5a}...
2020-07-14 21:39:40
318
原创 攻防世界web进阶区之NaNNaNNaNNaN-Batman
首先,题目如图:下载题目所给附件,打开后其是一个js文件,且是乱码。把最后的eval修改成alert,再将文件后缀修改成html,用浏览器打开,乱码变正常了。用浏览器打开后如图:这里我们会发现这是一堆没有顺序的js代码,我们用对齐工具将其格式化:把e的值输出来就是就是flag,要满足上面的if,在正则中^表示开头,$表示末尾,同时还要满足长度为16位,那么把上面的值拼接一下e的值就是 be0f233ac7be98aa,输入获取flag。flag{it’s_a_h0le_in_0ne}...
2020-07-14 21:13:21
291
原创 攻防世界web进阶区之php rce
页面就只有这个,没啥其他的,F12,也没啥发现,bp抓包也没有,百度这个thinkphp v5.0版本,发现出过远程命令执行的漏洞找了一下payload /index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls漏洞链接没有flag,返回上一级,多次返回后,发现flag在地址栏最后改为cat%20…/…/…/flag发现flag
2020-07-11 19:12:17
174
原创 攻防世界web进阶之isc-06
打开后,发现只有报表中心可以点击直接用bp抓包,随便数个数用intruder功能爆破从1—10000进行爆破,发现2333的时候长度不一样在地址栏id=2333得到flag
2020-07-11 15:23:27
188
原创 攻防世界web进阶区newscenter
打开后,只有个搜索框,可以看出是sql注入,用bp抓包,随便输入个数将抓包后的header方数据存储在1.txt文件上(文件放在sqlmap的目录下),用sqlmap爆库,-r 1.txt -dbs发现一个news数据库-r 1.txt -D news --dump查看数据库内容得到flag(sqlmap -u “注入地址” --dbs // 列举数据库sqlmap -u “注入地址” --tables -D “数据库” // 列举数据库的表名sqlmap -
2020-07-11 15:06:06
266
原创 攻防世界web进阶区Training-WWW-Robots
题目如图:进入场景之后显示如下,所以本题考察的是robots协议我们在地址栏加上/robots.txt然后网页跳转,我们可以看到网页中显示/f10.php不允许显示所以我们把地址栏的后缀改为 /fl0g.php,然后跳转,flag就出来了...
2020-07-11 13:22:42
242
原创 攻防世界web进阶区 baby-web
攻防世界web进阶区baby-web题目描述:想想初始页面是哪个初始页面指index,在地址栏把1.php修改为index.php,发现界面显示出的还是hello world这时候就可以用firefox自带的开发者选项,快捷键F12,如图:发现index.php的文件,在消息头中即可找到我们所需的flag...
2020-07-11 13:06:53
446
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人