qq_46263951的博客

ParallelsDesktop安装pdtools真的是心累，每次配置kali的pdtools都要耗费大量时间，看到网上有一些在kali上安装pdtools的教程，但往往需要结合很多文章才有可能解决问题，并且没有为懒人准备的全套软件，所以出此文章希望能够帮助大家能够简单快捷解决问题。...

注册登陆，查看图片使用伪协议我们可以读取到/etc/passwd想要读取get_pic.php和index.php但是不知道文件路径，所以使用php伪协议/get_pic.php?image=php://filter/convert.base64-encode/resource=get_pic.php ｜ index.phpget_pic.php源码<?phperror_reporting(0);$image = (string)$_GET['image'];ech.

前言SQL注入是比较常见的漏洞，有数据库的地方就可能存在SQL注入，所以学好SQL注入是非常有必要的，sqli-labs是一个不错的练习靶场。推荐一篇文章SQL注入之Mysql注入姿势及绕过总结前置知识注入流程判断是否存在注入，注入是字符型还是数字型，闭合情况，绕过方式?id=1' ?id=1" ?id=1') ?id=1") ?id=1' or 1#?id=1' or 0#?id=1' or 1=1#?id=1' and 1=2#?id=1' and sleep(5)#?id=

攻防世界--mail布尔盲注，session伪造，format格式化字符串漏洞攻防世界--weiphpweiphp5.0框架漏洞：.git泄漏、SQL注入、文件上传漏洞(利用.phtml)高校战疫网络安全分享赛: webtmppickle反序列化漏洞学习BUUCTF--[CISCN2019 华北赛区 Day1 Web2]ikuncookie伪造，pickle反序列化攻防世界--Confusion1SSTI攻防世界--Confusion2md5爆破，cookie伪造，php反序

通过这道题对区块链有了一个简单的了解，这道题主要是参考师傅们的wp，所以这里就不再赘述，主要讲一下自己的收获。这道题利用的是双花攻击中的51% attack。51% attack指的是攻击者如果可以拥有超过全网50%的算力，就可以创造一条高度大于原始链的链，攻击者可以发送一个新的块到这条链上。这里使用的为0确认，就是不需要别人确认，就如我们生活中的一手交钱一手交货，不同的是生活中我们处于中心化社会，银行会帮我们确认。而6确认就是需要经过6个人(区块被挖出)交易才确定。区块链的规则：当出现分叉时，

尝试登陆admin给出提示可知存在admin账号尝试注入显示只能是数字和字母，先注册进去，给出提示通过扫描目录可以发现/flag目录查看session要更改session就需要secret_key

这道题原本应该是通过.git源码泄漏获取到源码，利用工具githack，可能是环境的问题，执行完发现目录是空的直接从网上找源码，可能比源代码的内容要多一些GitHub - weiphpdev/weiphp5.0: WeiPHP5.0，公众号与小程序结合的最佳开发框架,，它实现一个后台同时管理和运营多个客户端（公众号，微信小程序，后续将支持支付宝小程序，百度小程序等）进入后的页面为一个登陆框，将login改为register发现该功能被禁用了前台SQL注入由于这里对title参数并没有检.

源码打开后的页面点击here可以看到源码，关键处代码当满足Animal类中对象的name和category属性和secret内的两个属性的值吻合即可getflag这里还限制了‘R'，并且RestrictedUnpickler函数使得我们只能使用mian中模块。所以可以导入secret然后再覆盖secret变量的值手写opcode有些困难，所以利用pker工具pker代码放到1.txt中secret=GLOBAL('__main__', 'secret') # python.

当用户名为admin时注册没有响应，随便先注册进去首页显示要买到lv6通过观察源码和请求可以发现lv4对应的图片时lv4.png，参数page是页数可以利用脚本来查找lv6在哪一页import requestsurl="http://611051e9-5a5a-42e4-914f-4257977185b0.node4.buuoj.cn:81/shop?page="for i in range(0,2000): print(i) r=requests.get( url

这个题是Confusion1的延续，所以根据题目提示，先在1中把salt文件内容先读出来_Y0uW1llN3verKn0w1t_这里开放了register和login，注册并登陆关于md5值爆破，我比较习惯使用数字来爆破，效率比较高一下<?php$i=0;for ($i;$i<=9999999999999999;$i++) { if (substr(md5($i), 0, 6) == '7358dd') { echo($i); exi

进入页面看到给出一个目录访问后给出flag的目录测试发现存在SSTI漏洞发现存在过滤但是并未过滤request，request 是 Flask 框架的一个全局对象 , 表示 " 当前请求的对象(flask.request ) " 。利用file类读取文件最终payload：{{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0a.

注册登陆发现这里可以上传文件，并且可以下载/删除下载文件时抓包，看到可控参数filename尝试任意下载文件，可以读取passwd读取源码，同样方法读取download.php、delete.php、login.php和class.php(delete.php代码中可知)在class.php中可以利用file_get_contents实现任意文件读取由于这里并没有触发点unserialize()，配合 phar://伪协议，我们可以使用不依赖反序列化函数 unserializ...

其实看到Flag已发送至www.yunyansec.com!就应该想到。。。对这个洞的理解是把本该发送到yunyansec.com上的内容发送到了我们的代理服务器上添加请求头Proxy:http://ip/port监听端口

打开后是一个文件上传上传图片发现额....好吧，图片被拦截了这里用的是Apache开启SSI，文件上传Getshell什么是shtml使用SSI（Server Side Include）的html文件扩展名，SSI（Server Side Include），通常称为“服务器端嵌入”或者叫“服务器端包含”，是一种类似于ASP的基于服务器的网页制作技术。通过SSI的命令实现getshell程序代码：<!– 指令名称=”指令参数”>exec作用：将某一外部..

当时都被重定向搞崩溃了，，， 还是自己太菜了，没想到用参数值来绕过先看注释大致意思是访问路径以/login开头或者是以.js结尾查看/static.js本以为有提示，结果啥也没有，那答案一定是在/admin中request.full_path获取当前url,(包含参数)请求一个http://127.0.0.1:8000/200/?type=10request.get_full_path()返回的是【/200/?type=10】访问/admin，得到一个参数name这里不知道都.

注册登陆上传文件发现上传一次后没法上传第二次了。。。重新注册个号，尝试上传php文件发现被拦截了，改成.jpg也被拦截了，猜测这里检测了文件头，想起之前伪造文件头，在文件开头添加GIF89A即可虽然可以成功上传上去，但是没法执行扫描目录发现源码泄漏，访问/www.tar.gzProfile.php文件这里限制了上传文件的后缀名Cookie这里有个序列化猜测是反序列化 ，覆盖掉filename即可实现文件名任意__get() 用于从不可访问的属性读取数据__ca...

进入后页面显示no url，然后就没有其他的了，结合题目，猜测是url为参数通过测试发现是以POST方式传参url尝试使用伪协议读取文件参考WP发现只有当text位置为www.baidu.com时才不会报错base64后为，即可获得flag参考文章：CTF中常用的php伪协议利用 - 1ndex- - 博客园...

将price和id加上引号，触发debug联想到扫描目录出现的/consoleFlask debug pin安全问题这种方法有点难，换种方法目录穿越可以成功读取任意文件，获得flag。

一开始看题目还以为是一道Flask+SQL的题，这里出现的漏洞点都是在SQL代码审计：路由执行代码都在routes.py，自定义函数在others.pyadd:插入 del:删除 mod:更新 sel:查询/index路由:发现没有任何过滤，插入第一条语句用来闭合，第二条执行注入a','1','2022-1-1'),(Null,(select database()),'1','2022-1-1')#...

这道题真是涨芝士了，原来文件名也能SQL注入...这里应该是将文件名存到数据库中并返回到页面上显示出来测试这里通过select时，字母无回显，十六进制无法使用，所以要使用十进制，并且要防止溢出 select、from被过滤，双写绕过 CONV(n,from_radix,to_radix)：用于将n从from_radix进制转到to_radix进制substr(str,start,length)：将str从start长度为length分割 hex(str)：将str转成十六进制 payl