- 博客(31)
- 收藏
- 关注
RSS订阅原创 [GYCTF2020]Ezsqli
[GYCTF2020]Ezsqli这道题还挺有趣的,用到了无列名注入以及比较的方式,如果有些不清楚的,可以先看看我的这两篇文章(写得不是很好,见谅),这样应该对这两种方式都能有些了解mysql8特性无列名注入回到题目上来对注入框进行fuzz,过滤掉了or,也就是说不能用information_schema的库在有了上面两篇文章的基础上,我就直接给脚本了import requestsurl='http://5c532294-0b1e-43d9-ae85-c8f7f23451d9.node4.
2021-08-18 18:33:28
304
原创 buu-[HITCON 2017]SSRFme
buu-[HITCON 2017]SSRFme182.xxx.xxx.xxx<?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REM
2021-08-11 14:55:19
286
原创 [RCTF2015]EasySQL
[RCTF2015]EasySQL这道题说实话,花的时间挺久的,主要是注入点找错了,一直以为是在改密码那儿(就是一直在密码处作注入),实际上是用户名的注入直接讲解题步骤了对注册界面的username作fuzz,过滤了空格,并且也无法使用内联注释,但括号也可以拿来代替空格于是,构造第一个payload:1"or(updatexml(1,concat(0x7e,(select(database())),0x7e),1))#点击提交,然后用这个用户名去登陆,进行更改密码,随便改改就好可以看到下
2021-07-30 21:19:08
277
原创 ctfhub-web进阶-[LD_PRELOAD]
ctfhub-web进阶-[LD_PRELOAD]题目描述:目标:获取服务器上 /flag 文件中的 flag。需要了解 Linux LD_PRELOAD 环境变量。CTFHub Bypass disable_function —— LD_PRELOAD本环境来源于AntSword-Labs<!DOCTYPE html><html><head> <title>CTFHub Bypass disable_function —— LD_
2021-07-17 15:58:13
1460
2
原创 ctfhub-fastcgi协议
ctfhub-fastcgi协议这道题是关于fastcgi协议的东西,具体的fastcgi的东西就不介绍了,附件有,网上也有很多师傅写了的,我这里就直接说下题的思路fastcgi是向php-fpm发送报文的,而由于php-fpm的默认端口是9000,所以我们用nc去监听下9000端口nc -lvvp 9000>yy.txt使用大师傅的exp去打就行:import socketimport randomimport argparseimport sysfrom io import B
2021-07-13 12:26:37
1625
1
原创 CTFHUB-SSRF-上传文件
CTFHUB-SSRF-上传文件先用file协议读下flag.php的内容:file:///var/www/html/flag.php可知是随便上传个文件就行访问127.0.0.1/flag.php,是个上传界面但并没有提交,所以我们得自己补一个提交按钮:<input type="submit" name="submit">随便抓个上传包:进行两次url编码,得到:POST%2520/flag.php%2520HTTP/1.1%250D%250AHost%253A%
2021-07-12 11:57:12
1371
3
原创 [CISCN2019 总决赛 Day2 Web1]Easyweb
[CISCN2019 总决赛 Day2 Web1]Easyweb开局一个登录框,扫下后台:扫出来个.DS_Store,下载下来,观察发现并无什么可用的信息,根据经验访问下robots.txt,发现存在*.php.bak但并不知道*指的是什么,试了下index,image(扫目录时扫到的),只能下载到image的源码:<?phpinclude "config.php";$id=isset($_GET["id"])?$_GET["id"]:"1";$path=isset($_GET[
2021-06-16 17:32:03
169
2
原创 [CISCN2019 华北赛区 Day1 Web1]Dropbox
[CISCN2019 华北赛区 Day1 Web1]Dropbox题目:打开环境,注册个账号,然后登陆这里我随便上传了张图片,但是什么回显都没有:接着抓个上传包试试,但是找不到什么,接着就抓下载包:可以看到最下面有个filename=,可以试着去目录跨越:成功拿到源码,其他源码也是一样的方式去获取:先来看class的内容:<?phperror_reporting(0);$dbaddr = "127.0.0.1";$dbuser = "root";$dbpass = "r
2021-05-28 19:09:15
148
原创 MTCTF复现[ezcms]
MTCTF复现[ezcms]环境配置:docker pull y4tacker/ez_yxcms:1.0进入界面,目录扫描一下,得到:访问robots.txt:在这儿找到密码,md5解密即可:attack用户attack,密码attack登陆就可以了看到头像处的url为class/showImage.php?file=logo.jpg应该可以进行文件读取,所以去掉logo.jpg,然后bp抓包,得到源码:<?phperror_reporting(0);if ($_G
2021-05-28 17:15:35
817
5
原创 hitcon_2017_ssrfme
hitcon_2017_ssrfme题目:打开环境,得到:<?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"])); $info = pathinfo($_GET["file
2021-05-02 23:52:51
380
原创 easy_exec
easy_exec题目打开环境,得到:看下源码,发现有个de.php,访问:<?phphighlight_file(__FILE__);$comm1 = $_GET['comm1'];$comm2 = $_GET['comm2'];if(preg_match("/\'|\`|\\|\*|\n|\t|\xA0|\r|\{|\}|\(|\)|<|\&[^\d]|@|\||tail|bin|less|more|string|nl|pwd|cat|sh|flag|fi
2021-05-02 19:08:00
212
原创 ssrfme
ssrfme题目:打开环境,得到:<?phpif(isset($_GET) && !empty($_GET)){ $url = $_GET['file']; $path = "upload/".$_GET['path']; }else{ show_source(__FILE__); exit();}if(strpos($path,'..') > -1){ die('This is a waf!');}if(
2021-05-02 11:15:28
384
1
原创 [WEB_ezeval]
[WEB_ezeval]题目:打开环境,得到:<?phphighlight_file(__FILE__);$cmd=$_POST['cmd'];$cmd=htmlspecialchars($cmd);$black_list=array('php','echo','`','preg','server','chr','decode','html','md5','post','get','file','session','ascii','eval','replace','assert','e
2021-05-01 19:40:17
314
原创 [De1CTF 2019]SSRF Me
[De1CTF 2019]SSRF Me题目:打开环境,得到:有点乱,可以自己去整理,也可以直接去下载源码,得到:#! /usr/bin/env python# encoding=utf-8from flask import Flaskfrom flask import requestimport socketimport hashlibimport urllibimport sys,importlibimport osimport jsonimportlib.reload(
2021-05-01 13:38:30
124
原创 [安洵杯 2019]easy_web
[安洵杯 2019]easy_web题目:打开环境,得到;在url栏里发现了这一串代码:?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=前面的img很明显是加了密的,所以尝试去解密,先试试base64解密,得到:继续base64解密:猜测其为base16加密,解密得到:555.png应该就是上面的这张图片了:emmmmmm…好像没什么很大的用,不过倒是可以去把index.php按照这几种加密方式顺序去加密:先base16,再来两次base6
2021-04-27 16:06:51
1076
4
原创 [BJDCTF2020]ZJCTF,不过如此
[BJDCTF2020]ZJCTF,不过如此题目:打开环境,得到:<?phperror_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."<
2021-04-26 15:48:40
1122
2
原创 [2020首届祥云杯]带音乐家
[2020首届祥云杯]带音乐家题目:下载好附件,打开,得到一个文件与一个rar包:并且rar包是经过了加密的,我这里去010里看了下,发现并不是伪加密:所以突破点就只有上面的decode_it文件了,这样直接是打不开的,所以我将它放入010里去看了下,发现:文件头是MIDI的,所以我将后缀改成了MIDI然后这里要用到一款工具叫做velato,可以将其解密:然后在velato文件夹下生成了一个decode_it.exe的程序,运行得到:Hello, World!这个Hello,
2021-04-20 17:14:53
271
原创 [2020首届祥云杯]到点了
[2020首届祥云杯]到点了题目:下载好附件,得到3个docx文件:先打开第一个docx,发现:这里应该是docx文档隐写的内容,所以先试着勾选隐藏文字,得到:8位数字应该是第二个docx的密码,这就好说了,直接爆破就行点击完成,即可进行爆破,最后爆出来的密码是20201024,也正好是3个文件的日期:用密码进入第二个文件:emmmmmmmm不会还是隐藏文字吧?但试了下不是后来在网上搜了下其他docx文档的隐写,发现还可以用全选文字来上色所以我们直接全选,然后随便点个色
2021-04-20 11:25:13
271
原创 [极客大挑战 2019]HardSQL
[极客大挑战 2019]HardSQL(主要记录一下自己做题的思路)题目:打开环境,得到:废话不多说,都说了是hardsql了,直接fuzz测试一下可以看到有很多还是没被过滤的,现在就要自己再手动测试一下常见的一些方式了,我这里说下我做这题的思路:先试着输入了admin' #,返回了:说明空格确实被过滤,接着就要想办法绕过空格了,先试着用了下/**/来绕过空格,发现同样被过滤了现在只有用()括号来绕过空格了,这里简单讲下空格绕过的原理:括号是来包含子查询的,任何可以计算出结果的语
2021-04-16 00:03:23
6287
7
原创 [ZJCTF 2019]NiZhuanSiWei
[ZJCTF 2019]NiZhuanSiWei题目:打开环境得到:<?php $text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_content
2021-04-15 12:09:38
128
1
原创 [php代码审计]之create_function()函数
[php代码审计]之create_function这篇文章结合了许多师傅的博客,再加上了一点我自己的心得文章目录creat_function()介绍使用官方手册使用实际例子0x010x02代码分析参考博客creat_function()介绍适用范围:php4>=4.0.1,php5,php7功能:根据传递的参数创建匿名函数,并为其返回唯一名称语法:creat_function(string $agrs,string $code)//string $agrs 声明的函数变量部分//s
2021-04-14 23:48:37
1623
原创 python实现socket简单通信
python实现socket简单通信首先先来简单介绍下socket:(具体更详细介绍的可以在网上找找,都讲得非常详细),这里主要是我自己的一些理解。socket是在应用层与传输层之间的一个抽象层,它的本质是编程接口,通过socket,才能实现TCP/IP协议。它就是一个底层套件,用来处理最底层消息的接受和发送。socket翻译为套接字,可以把TCP/IP复杂的操作抽象为简单的几个接口来供应用层调用来实现进程在网络中的通信。socket起源于Unix,而Unix的基本要素之一就是“一切都为文件”,即
2021-04-09 23:16:24
12516
8
原创 ARP实现窃听密码
ARP实现窃听密码先附上我之前的两篇关于ARP的文章,大家可以先去看看ARP1 , ARP2这里就直接准备实验环境了:1台kali1台win10主机攻击流程:首先在kali里输入ifconfig,得到kali的ip地址然后继续输入:route -n,得到当前网关地址,我这里为192.168.0.1然后在win10主机上输入ipconfig,得到win10的ip地址,我现在的是192.168.0.2这时他们都处于同一局域网下,可以进行ARP攻击,我们在kali里输入:a
2021-04-08 21:35:25
485
5
原创 bugku~红绿灯
bugku~红绿灯下载好附件打开:是一张gif图片仔细观察,在闪一定数量后,黄灯开始闪烁,猜测红绿应该是一种加密,不是01就是摩斯,再数一下数,可以发现在红绿交替闪烁8次过后黄灯闪烁毫无疑问,这是二进制信号第一个问题来了,怎么将图片信号灯转换为二进制形式呢?这就要通过python里的PIL库来实现了(PIL~~yyds!)PIL库是python里自带的库,用的最多的就是里面的Image方法了给大家讲讲最简单的Image知识,待会不至于看不懂代码:Image.open('xxx.jpg'):
2021-04-07 15:03:10
544
1
原创 bugku~No one knows regex better than me
bugku~No one knows regex better than me题目描述:正则好像没有想象中的那么简单打开环境得到一串代码:<?php error_reporting(0);$zero=$_REQUEST['zero'];$first=$_REQUEST['first'];$second=$zero.$first;if(preg_match_all("/Yeedo|wants|a|girl|friend|or|a|flag/i",$second)){ $key=
2021-04-03 19:01:08
1917
1
原创 ARP深入监听图片
ARP深入监听图片接着上一篇博客的内容(这里附上链接ARP攻击),上一次说到了用ARP进行断网,这次我会来详细讲下用ARP来进行监听图片准备:一台kali一台平板前提:二者都在同一局域网下攻击原理就不介绍了,之前的ARP博客里有,大家也可以去看其他大师傅的博客,里面对arp原理都有详细的说明攻击流程:首先在kali里输入ifconfig可以看到我现在的网卡是eth0,ip地址为192.168.43.69,接着在kali里输入route -n此时网关为192.168.43.1继续输入
2021-03-30 11:44:53
569
2
原创 ARP实现简单断网攻击
ARP实现简单断网攻击环境准备:1:一台kali2:一台win7虚拟机在讲如何进行攻击前,我先来简单介绍下arp(已经有很多大佬的博客把原理写的很清楚了,大家如有需要可以自己详细去看下,这里附上大佬博客:arp攻击arp:地址解析协议,目的是实现IP地址与MAC地址的转换,而MAC地址是真正计算机唯一标识arp攻击则是利用这一特点来进行攻击的,假设B向A发送数据,C就伪造成A,这就造成了劫持数据,造成断网,甚至监听原理大概就是这样了,我就细细讲下攻击过程(原理主要是自己也不太会写,写出来全是口
2021-03-28 12:09:25
2666
原创 bugku~xxx二手交易市场
bugku~xxx二手交易市场打开环境:页面内的东西很多,这时我们随便点点,可以看到在url地址栏上出现了id=xxx的字样,我一瞬间想到了sql注入,然后构造了一些payload,发现不行,就继续去找其他的页面了,我们不难想到这些页面容易发生漏洞的地方-------登陆或者注册页面这时我们随便先试试注册一个账号,再登陆进去,可以发现来到了用户界面用户界面一般就可以进行上传头像等,果不其然(真的可以上传头像既然都可以上传头像了,应该就是文件上传漏洞了,随便上传个图片抓包试试:可以发现
2021-03-23 21:54:50
1420
2
原创 bugku~神秘的文件
bugku~神秘的文件记录我做题的思路首先我们打开下载好的文件其中flag.zip文件加了密,并且里面有一张一模一样的logo.png,所以我当时就在想入手点可能是logo.png我将解压好的且能打开的logo.png放到010下,但没什么发现,然后就试了下binwalk,分离得到了这几个文件看到zlib,又试着将其改为zip文件,但都打不开(有点小崩溃仔细思考了下,想到压缩包内外都有相同文件,可以用明文攻击(但明文攻击的压缩包内只能有一个文件),所以我们得把flag.zip里的另一个文件删
2021-03-09 18:06:59
515
原创 bugku~图穷匕见
bugku~图穷匕见首先我们下载好文件,打开后见到:没找到什么信息,这时我们查看图片属性:可以看到应该是要让我们画图,属性看完了,就放到010里去看一下:可以看到后面有一长串数字,将其复制,仔细观察,猜测为16进制,试一试把它转换成text可以发现得到了有点像坐标的东西,再联想到之前的画图,然后百度得到了一个叫gnuplot的工具(可以在kali里下试了一下,得不出来(在这里卡了很久然后才知道,原来要把坐标修改一下,去掉括号和逗号,再次尝试:可以发现得到了一张二维码,直接放到工具
2021-03-09 16:23:25
226
原创 bugku~小山丘的秘密
bugku~小山丘的秘密(套神的题yyds首先我们下载压缩包得到一个.txt和一个.jpg打开txt文件发现关键信息:A=1接下来打开jpg文件在这里插入图片描述乍一看,看不出什么东西,然后想到题目描述,hill能有什么秘密呢(hill其实就是希尔密码,希尔密码简单理解就是利用基本的矩阵理论来替换密码因此不难想到棋盘就是一个矩阵(一般来说希尔密码一般是A=0,B=1,但.txt文件里说A=1,往后推,可以知道Z=0)将矩阵用于棋盘,可以知道为abczadefz(这个就是矩阵私
2021-03-07 19:45:04
644
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人