- 博客(60)
- 收藏
- 关注
RSS订阅原创 CTFSHOW WEB入门
----------信息搜集----------源码泄露查看源码即可前台JS绕过直接开发者工具查看源码当然也可以抓包查看也可以禁用js查看源码协议头信息泄露或者抓一下包也可robots后台泄露phps源码泄露根据题目猜测输入index.phps下载到一个index.phps打开得到flag源码压缩包泄露访问www.zip没有flag,尝试访问fl000g.txt版本控制泄露源码Git是一个开源的分布式版本控制系统git代码泄露,git上传代码会在目录创
2021-10-11 20:06:59
4373
1
原创 CTFHUB历年真题练习
WebsiteManger考点布尔盲注、SSRF尝试了一般登录方法没有反应。查看源码发现sql注入的利用点在图片上盲注脚本import stringfrom requests import *allstr = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$%&\'()*+,-./:;<=>?@[\]^_`{|}~'myurl = 'http://challenge-1993b
2021-10-11 20:04:41
1341
原创 LFI-labs
CMD-1查看源码没有任何过滤,直接执行payload:?cmd=whoamiCMD-2如上payload,不过要换成post请求CMD-3试一下cmd-1的方法结果很显然这里就要复习一下这个小知识点了cmd1|cmd2:不论cmd1是否为真,cmd2都会被执行;cmd1;cmd2:不论cmd1是否为真,cmd2都会被执行;cmd1||cmd2:如果cmd1为假,则执行cmd2;cmd1&&cmd2:如果cmd1为真,则执行cmd2;上payload:
2021-09-03 01:30:17
4200
7
原创 CTFSHOW WEB练习
web1分析:需要满足id=1000,同时intval($id) > 999要返回false(intval是将变量取整(注:如果变量是小数,那么变量小数位不能为0,如果为0,会被认为是整数))方法一:使用’1000’字符串('1000’进行intval后还是1000)方法二:125<<3(注8000>>3不行)方法三:使用680|320方法四:使用hex(16进制绕过)intval使用举例<?phpecho intval(42);
2021-05-30 13:37:44
1191
2
原创 Bugkuweb系列题记录
web1打开场景,按F12查看源代码web2打开是一个计算器,但是只能输入一个数字。打开源码修改长度输入结果就得flagweb3$what=$_GET['what'];echo $what;if($what=='flag')echo 'flag{****}';web4法一:hackbar传参法二:构造表单<form action="/post/" method="post"> <input type="text" name="what"> &l
2021-04-20 23:00:18
864
转载 CTFHUB XSS反射型
查看是否能弹框<script>alert("xss")</script>尝试弹出自己的cookie发现是空的<script>alert(document.cookie)</script>后面发现只能通过下面的输入框来执行XSS测试,于是我们只能用XSS测试平台解决问题注册一个xss平台,然后再创建一个项目项目名称随便填写,勾选默认模块就够了,点击下一步这时会出现一个找个将代码复制回到题目,将代码复制点击发送回到xss平台:.
2021-04-04 21:50:29
406
转载 CTFSHOW【nl】难了
应该是是RCE读取当前php,要求指令长度小于4,只能用nl读取Linux中可以将文件名作为函数和参数,通过星号通配执行先新建一个名称是nl的文件作为指令?1=>nl将右尖括号左侧的内容写入右侧文件,因此相当于新建了一个叫nl的空文件接着读取当前的php,我们预期是执行nl xxx.php,这里由于不知道这个php的名称,无法执行?1=*>z这里的操作是:根目录下有两个文件:新建的nl和当前的xxx.php*号代表字符串nl xxx.php,将当前目录下所有文件的名字列出.
2021-04-03 15:35:27
882
转载 CTFSHOW 红包题第二弹学习
PHP上传机制php文件上传时会先将上传的文件保存到upload_tmp_dir该配置目录下,这里为/tmp,而上传页面只负责把该文件拷贝到目标目录。也就是说不管该php页面有没有文件上传功能,我们只要上传了文件,该文件就会被上传到upload_tmp_dir配置的目录下,上传完后会被删除。PHP命令执行eval($cmd);执行命令方式:system('ls');echo(`ls`);echo+反引号?><?=`ls`;<?=是echo()的别名用法,不需要开
2021-04-02 10:40:51
1087
1
原创 新春赛萌新记录
Misc2021新春赛-misc签到处下载附件,查看文件尾,发现有一串base64编码,解码得flagWEB2021新春赛-girlfriend?payload='phpphpphpphpphpphpphpphp";s:8:“Hed9ehog”;s:14:“has_girlfriend”;}
2021-03-27 23:43:40
104
转载 逻辑漏洞的学习
逻辑漏洞概述什么是逻辑漏洞代码之后是人的逻辑,人更容易犯错,所以一直存在逻辑漏洞。sql注入、xss等漏洞可以通过安全框架等避免,这种攻击流量非法,对原始程序进行了破坏,防火墙可以检测,而逻辑漏洞是通过合法合理的方式达到破坏,比如密码找回由于程序设计不足,会产生很多问题,破坏方式并非向程预防思路常见的逻辑漏洞:交易支付,密码修改,密码找回,越权修改,越权查询,,突破限制等各种逻辑漏洞逻辑漏洞分类验证机制缺陷会话管理缺陷权限管理缺陷业务逻辑缺陷登录缺陷支付逻辑缺陷API乱用验证机制
2021-03-27 23:38:27
148
转载 XSS-Lab 1-10
不使用过滤器name=<script>alert(1)</script>闭合标签输入第一题的答案,没有成功,查看源码,发现:我们输入的数据,是在表单中的value属性内法一:所以需要先闭合input标签,然后在注入代码,闭合标签:"><script>alert(1)</script>法二:是闭合value属性,然后在input标签内加入事件属性:" οnclick="alert(11)单引号闭合并添加事件输入测试:
2021-03-21 20:26:00
272
原创 BUUCTFweb比赛做题记录
[VNCTF 2021]Ez_game打开为通过游戏手打通关是不可能的法一:在控制台输入winTimer.Set();法二:https://www.sojson.com/jsobfuscator.html输入winTimer[“endTime”]=99得到加密,并复制到控制台,回车即可不可以看全flag,那么就Ctrl和-来放小一点即可[GKCTF2020]老八小超市儿做题之前先来小菜:就知道默认后台就是admin.php,登入的默认账号密码是admin和shopxo。输入
2021-03-16 23:18:12
876
原创 BUUCTFbasic做题记录(1)
Linux Labs使用ssh连接,用户是 root,密码:123456,-p指定端口,端口是随机的然后输入yes,后输入密码即可连接上了ssh -p 25527 root@node3.buuoj.cnBUU LFI COURSE 1?file=/var/log/nginx/access.log :包含ngnix的日志记录BUU CODE REVIEW 1代码审计:第一层get post?pleaseget=1pleasepost=2第二层md5漏洞传递md51和
2021-03-13 13:38:10
2522
转载 misc方向题型总结
图片隐写1.直接在图片中查看3.补全二维码4.放入jd-gui5.binwalk分离binwalk在玩杂项时是个不可缺的工具。–最简单的,在玩隐写时,首先可以用它来找到其中的字符串例如:在铁人三项,东北赛区个人赛中,有一道题它直接给了一个文件,没有后缀,不知道是什么文件先binwalk下,命令就是直接binwalk 文件名。返回了一个字符串信息,发现 pohsotohp,是Photoshop的倒写。将文件用Python脚本倒写后,用图片工具打开发现flag。找字符串的信息也可以用steg
2021-03-10 22:02:25
941
转载 Web狗的CTF出题套路
CTF-web基础解题步骤1.看源码,F12或者ctrl+u2.扫目录,御剑或者dirseash3.burp抓包分析http头十五个Web狗的CTF出题套路一、爆破,包括md5、爆破随机数、验证码识别等二、绕WAF,包括花式绕Mysql、绕文件读取关键词检测之类拦截三、花式玩弄几个PHP特性,包括弱类型,strpos和===,反序列化+destruct、\0截断、iconv截断、四、密码题,包括hash长度扩展、异或、移位加密各种变形、32位随机数过小五、各种找源码技巧,包括git、svn
2021-03-09 22:17:42
1334
转载 第三章 web进阶n1book
[第三章 web进阶]Python里的SSRF直接按照提示来:127.0.0.1是被禁止的用0.0.0.0代替127.0.0.1就是成功了,127.0.0.1是本机的环回地址,0.0.0.0代表本机上任何IP地址,因此可以利用0.0.0.0来绕过127.0.0.1的过滤。本题有多重解法 - `0.0.0.0:8000` 绕过 - `[::1]:8000` 绕过(需要支持 ipv6) - 重定向跳转到 `127.0.0.1:8000` - dns rebinding 输入一个域名,第
2021-03-07 19:44:22
701
1
转载 第二章 web进阶]SSRF Training
点击interesting challenge,得到:<?php highlight_file(__FILE__);//用PHP高亮显示当前的文件function check_inner_ip($url) //获取url的域名,将域名转为ip,然后再判断这个ip是否是私有地址{ $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); //返回$url的匹配,值将是 0 次(不匹配)或 1 .
2021-03-06 20:09:15
970
1
转载 信息泄露之dvcs-ripper-master的使用
HG泄露本题需要使用dvcs-ripper工具进行处理,使用命令./rip-hg.pl -v -u http://challenge-XXX.sandbox.ctfhub.com:10080/.hg/此时可以通过cat lastSVN泄露进行简单配置相关要求的组件:sudo apt-get install perl libio-socket-ssl-perl libdbd-sqlite3-perl libclass-dbi-perl libio-all-lwp-perl不然会出现这样的错
2021-03-06 18:56:26
2744
1
原创 信息泄露之GitHack-master的使用
[第一章 web入门]粗心的小李GitHack的下载安装 下载地址:https://github.com/lijiejie/GitHack下载得到一个html,打开看看得到flagLog查看文件夹可以看到如下目录,在该目录下打开cmd执行git命令git常用命令git log 查看历史记录git reset 切换版本git dirr 对比两次提交git log 查看历史记录 发现 当前为remove flag,而flag在add flag中所以回退到
2021-03-05 23:44:22
3210
转载 [第二章 web进阶]XSS闯关
level1?username=<script>alert(1)</script>level2查看源码我们可以看到username被escape函数编码了,基本上就很难绕过。因此我们从username本身想办法。可以这样构造:?username=';alert(1);//这样username就是这样:var username = ‘’;alert(1);//’;成功执行了alert(1)。level3输入上一关的payload题目源码,这次过滤了单引
2021-03-04 22:35:15
1994
1
转载 BUUCTF第一章 web入门]afr_3
本题考查对linux系统中/proc/目录下文件作用的了解,同时考查了flask模板注入关于/proc/目录Linux系统上的/proc目录是一种文件系统,即proc文件系统。与其它常见的文件系统不同的是,/proc是一种伪文件系统(也即虚拟文件系统),存储的是当前内核运行状态的一系列特殊文件,用户可以通过这些文件查看有关系统硬件及当前正在运行进程的信息,甚至可以通过更改其中某些文件来改变内核的运行状态。/proc/[pid],当查看当前进程的时候可以用/proc/self代替cmdline — 启
2021-03-03 20:38:29
3643
2
原创 BUUCTF密码学做题记录
丢失的MD5打开是一个py文件用python2运行一下就得flag[BJDCTF 2nd]老文盲了题目名字文盲,而且这txt里面的文字基本都不认识,那就用拼音解密去把拼音翻译出来flag: BJD{淛匶襫黼瀬鎶軄鶛驕鳓哵}Alice与Bob依据题目条件先去分解大整数:分解工具然后将小的放前面,大的放后面,合成一个新的数字,进行md5的32位小写哈希rsarsa题目中的e是十进制,在RSA Tool2中要改为16进制,用RSA Tool2求出私钥de = 65537p =
2021-03-01 21:15:01
288
转载 rsa的简单学习
什么是RSARSA算法是应用最广泛的公钥密码算法。1977年,RSA算法由MIT的罗纳德 · 李维斯特(Ron Rivest)、阿迪 · 萨莫尔(Adi Shamir)和伦纳德 · 阿德曼(Leonard Adleman)共同设计,于1978年正式发布,以他们三人的首字母命名。在这之前所用的对称加密方式只采用一个密钥,知道加密密钥就可以知道解密密钥。但是由于双方需要事先约定加密的规则,就导致没有办法安全地交换密钥,建立安全的传递通道。但是1976年出现的非对称加密算法的思想就可以解决密钥的交换和存放
2021-02-27 21:25:43
299
原创 仿射密码的学习
原理仿射密码是一种表单代换密码,字母表的每个字母相应的值使用一个简单的数学函数对应一个数值,再把对应数值转换成字母。加密函数:E(x) = (ax + b) (mod m),其中 a与m互质,x表示明文按照某种编码得到的数字,m是编码系统中字母的个数(通常都是26)。解密函数:D(x) = a^{-1} (x - b) (mod m),其中 a^{-1} 是 a 在Z_{m}群的乘法逆元。乘法逆元了解一下乘法逆元欧几里得算法求解乘法逆元——Python#欧几里得算法求最大公约数def ge
2021-02-27 20:55:42
1241
原创 编码的学习
Hex编码Hex编码的编码原理:Hex编码的原理就是将原来8位的二进制字节打断,分成两个4位的,并且在前面加上4个零,进行补位这样一个8位二进制字节就变成了2个8位的二进制字节,在将新得到的2个二进制字符进行16位进制转换得到的新的16位字符串就是Hex的值例子:字符串: HEXASCII码: [72,69,88]二进制码: 01001000 01000101 01011000
2021-02-26 15:58:03
844
原创 常见密码的学习(1)
莫尔斯电码摩尔斯电码(又译为摩斯密码,Morse code)是一种时通时断的信号代码,通过不同的排列顺序来表达不同的英文字母、数字和标点符号摩尔斯电码是一种早期的数字化通信形式,但是它不同于现代只使用零和一两种状态的二进制代码,它的代码包括五种: 点、划、点和划之间的停顿、每个字符间短的停顿(在点和划之间)、每个词之间中等的停顿以及句子之间长的停顿。摩尔斯电码morse code 它由两种基本信号和不同的间隔时间组成:短促的点信号“·”,读“滴”(Di);保持一定时间的长信号“—”,读“嗒”(Da)。
2021-02-25 22:13:06
2146
原创 base家族学习
base16什么是Base16Base16编码就是将ASCII字符集中可打印的字符(数字0~9和字母A~F)()(2的4次方个)对应的二进制字节数据进行编码Base16转换表为:Base16原理编码的方式:1.将数据(根据ASCII编码,UTF-8编码等)转成对应的二进制数,不足8比特位高位补0.然后将所有的二进制全部串起来,4个二进制位为一组,转化成对应十进制数.2.根据十进制数值找到Base16编码表里面对应的字符.Base16是4个比特位表示一个字符,所以原始是1个字节(8个比特位)刚
2021-02-24 22:47:20
4948
1
转载 攻防世界密码学做题记录
sherlock附件是一本书的内容,发现其中有些字母莫名地大写利用命令cat 文件名 | grep -Eo ‘[A-Z]’ |tr -d '\n’将大写字母提取出来cat 29.txt | grep -Eo '[A-Z]' |tr -d '\n'(语言为Linux的bash)或者用脚本:#include <iostream>#include <fstream>using namespace std;int main(){ fstream infil
2021-02-20 21:24:51
733
转载 攻防世界MISC做题记录
give_you_flag保存下来,用 photoshop 把缺失的三个角给修复,手机扫码即可获得 flag 。或者用QR research掀桌子m = "c8e9aca0c6f2e5f3e8c4efe7a1a0d4e8e5a0e6ece1e7a0e9f3baa0e8eafae3f9e4eafae2eae4e3eaebfaebe3f5e7e9f3e4e3e8eaf9eaf3e2e4e6f2"num=""for i in range(0,len(m),2): hex = m[i:i+2
2021-02-18 19:45:44
1107
原创 点击劫持学习
什么是点击劫持点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。将iframe页面透明度调至最透明,将看不到iframe页面但其实页面是这样的在登录页面输入其实内容被输入到了iframe页面代码危害1.盗取用户资金2.获得用户的敏感信息3.与XSS或CSRF等其他攻击手段
2021-02-18 10:52:15
387
1
原创 浏览器安全学习
浏览器的工作机制:向整个互联网请求指令,请求到以后几乎不加任何质疑地执行。同源策略同源策略同源策略:限制了来自不同源的document或脚本对当前document读取或设置某些属性决定是否属于同一源的三大部分:协议、域名、端口浏览器中,一些src属性(<script>,<img>,<iframe>,<link>)并不受同源策略限制,但浏览器限制了JavaScript的权限,使其不能读、写加载的资源内容,每次通过src加载资源,都相当于一次get请求
2021-02-17 10:41:33
183
原创 认证与会话管理
“认证”是最容易理解的一种安全。如果一个系统缺乏认证手段,明眼人都能看出来这是“不安全”的。最常见的认证方式就是用户名与密码,但认证的手段却远远不止于此。Who am I ?很多时候,人们会把“认证”和“授权”两个概念搞混,甚至有些安全工程师也是如此。实际上“认证”和“授权”是两件事情,认证的英文是 Authentication ,授权则是 Authorization 。分清楚这两个概念其实很简单,只需要记住下面这个事实:认证的目的是为了认出用户是谁,而授权的母的是为了决定用户能够做什么。认证实际上
2021-02-16 20:48:15
367
3
原创 Web Server 配置安全
Web ServerWeb服务器是web应用的载体。Web server的安全关注两点:1、web server本身是否安全;2、web server是否提供了可使用的安全功能;Apache安全1.首先检查apache的module安装情况,根据“最小权限原则”,应该尽可能的减少不必要的module,对于要使用的module,则检查起对应版本是否存在已知的安全漏洞2.apache尽量不用以root身份或者admin身份运行不然结果是可怕的:当黑客入侵Web成功时,将直接获得一个高权限的she
2021-02-15 20:55:07
808
转载 BUUCTFweb做题记录
[HCTF 2018]WarmUp打开网址是一张滑稽,没什么用,看一下源码,发现有注释。访问source.php,直接给了源码,进行代码审计。分两块,第一块是emmm::checkFile,里面做了一些判断。第二块是一个include,文件包含,我们要绕过验证,也就是上面的checkFile方法。测试hint.phpinclude触发的三个判断条件全为真时,include才执行。checkFile为真第一个if,page需要设置并且为字符串第二个if,page需要在白名单中_page
2021-02-10 18:38:14
1427
原创 CTFHUB 流量分析
MySQL流量将附件下载之后用wireshark打开过滤搜索ctfhubRedis流量Redis: - nosql数据库,非关系型数据库 - 支持5大数据类型 (字符串String,列表list、字典hash,集合set,zset) - 与之相似的有memcache,但memcache只支持string类型 - 单进程单线程,好处在于不用考虑并发将附件下载之后用wireshark打开过滤搜索ctfhub可是我们发现这个flag只有一半所以我们接着找ctfhub{6051
2021-02-09 22:22:31
1764
原创 浅知Redis中SSRF的利用
SSRF介绍SSRF,服务器端请求伪造,服务器请求伪造,是由攻击者构造的漏洞,用于形成服务器发起的请求。通常,SSRF攻击的目标是外部网络无法访问的内部系统。RESP协议Redis服务器与客户端通过RESP(REdis Serialization Protocol)协议通信。RESP协议是在Redis 1.2中引入的,但它成为了与Redis 2.0中的Redis服务器通信的标准方式。这是您应该在Redis客户端中实现的协议。RESP实际上是一个支持以下数据类型的序列化协议:简单字符串,错误,整数,
2021-02-09 15:11:20
802
原创 从零学习flask模板注入(SSTI)
flask基础路由先看一段代码from flask import flask @app.route('/index/')def hello_word(): return 'hello word'route装饰器的作用是将函数与url绑定起来。例子中的代码的作用就是当你访问http://127.0.0.1:5000/index的时候,flask会返回hello word。渲染方法flask的渲染方法有render_template和render_template_string两种。
2021-02-09 11:25:26
671
转载 攻防世界web进阶做题记录
supersqli首先进入环境,发现是SQL注入。我们先简单的进行一些测试,发现是字符型注入,因此加一个单引号然后后面加#来闭合,然后测试1=1,1=2,发现都可以,然后进行order by测试,发现是2。但是用1’ union select 1,database()#这里考虑进行大小写,内联,用注释,等等,都不行。因此这里考虑使用堆叠注入,发现成功了。先获得数据库名称:1';show databases; #1';show talbes;#1' ;show columns from
2021-02-08 23:13:27
264
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人