- 博客(63)
- 收藏
- 关注
RSS订阅原创 XCTF-web-easyupload
试了试php,php7,pht,phtml等,都没有用。抓包修改将.user.ini修改为jpg图片。在上传一个123.jpg。用蚁剑连接,得到flag。尝试.user.ini。
2025-06-09 15:35:02
222
原创 XCTF-web-ics-05
preg_replace 函数:preg_replace ($pattern, $replacement, $subject) 函数会将 subject 中匹配 pattern 的部分用 replacement 替换,启用 /e 参数,就会将 replacement 当做 php 代码执行。改一下HTTP_X_FORWARDED_FOR为127.0.0.1。
2025-06-03 17:19:24
552
原创 XCTF-web-easyphp
变量a必须存在,intval(a)转换为整数后必须大于 6000000,但a的字符串长度必须小于等于 3。a=1e9&b=53724&c={“m”:“2024a”,“n”:[[],0]}得到flag。array_search(“DGGJ”, $c[“n”])必须返回非false值。c必须是数组,c[“m”]不能是数字类型,但c[“m”]的值必须大于 2022。c[“n”]必须是数组且包含 2 个元素,c[“n”][0]必须是数组。证明我们已经过了第一部分。但遍历c[“n”]时不能有元素严格等于"DGGJ"
2025-05-28 16:59:31
629
原创 XCTF-web-Cat
url=@/opt/api/database.sqlite3,找到了flag。试了很多,都错误,尝试在url里直接输入,最后发现输入%8f报错。根据Django的目录,我们使用@进行文件传递。发现了Django和DEBUG。尝试127.0.0.1;尝试输入127.0.0.1。
2025-05-28 16:37:32
186
原创 XCTF-web-file_include
filename=php://filter//convert.iconv.SJIS*.UCS-4*/resource=./check.php但是并没有得到flag。filename=php://filter//convert.iconv.SJIS*.UCS-4*/resource=./flag.php得到flag。filename=php://filter/convert.base64-encode/resource=./check.php,并没有得到flag。
2025-05-28 16:07:51
399
原创 XCTF-web-mfw
system(“cat templates/flag.php”)表示在系统中执行cat templates/flag.php命令,该命令用于查看templates目录下的flag.php文件内容。使用GitHack下载一下源文件,找到了php源代码。在源码中可以看到flag。
2025-05-28 15:43:16
339
原创 XCTF-web-fileinclude
resource=/var/www/html/flag指定了要读取的文件为服务器上“/var/www/html/”目录下名为“flag”的文件。被调用与执行,因此cookie变量中很适合写入读取flag.php的payload。read=convert.base64 - encode表示以Base64编码方式读取内容。在cookie中的内容language 会被传到变量。php://filter是PHP的输入/输出过滤器。我们将加密字符串解密,就得到了flag。
2025-05-28 15:10:43
463
原创 XCTF-web-fileclude
通过这样的设置,在满足特定条件(如代码中对file2的检查等)下,flag.php文件内容会以 Base64 编码形式被获取,以这种编码方式获取内容可用于进一步分析以得到 flag。php://input 是一个伪协议,它允许访问请求的原始 POST 数据,将其作为一个数据流。php://filter是 PHP 的一种输入 / 输出流过滤器,用于对数据流进行处理。resource=flag.php指定了要读取的目标文件为flag.php。最后我们将得到的加密字符串进行解码,就得到了flag。
2025-05-28 14:47:06
352
原创 XCTF-pwn(二)
看一下文件信息利用gets函数将seed[0]给覆盖掉距离0x20我们需要输入十次随机数产生的值写一个c程序先预判当seed是a的时候产生的随机数分别是多少payload。
2025-05-02 17:33:40
370
原创 XCTF-misc(二)
白色代表0,黑色代表1:01100110011011000110000101100111011110110100011001110101010011100101111101100111011010010100011001111101。
2025-04-21 15:45:45
325
原创 XCTF-web(五)
当通过KaTeX parse error: Expected group after '_' at position 42: …erialize,触发魔术方法_̲_wakeup和__destr…this->file)输出文件内容,若KaTeX parse error: Expected group after '_' at position 17: …ile可控,可读取任意文件。_̲_wakeup 防御:若file不为index.php,会被重置为index.php。
2025-04-21 13:09:29
1051
原创 HackMyVM-Hostname
因为目录扫描没扫到东西,从页面生成字典。目录扫描,什么也没扫到。删除掉disabled。还找到一段base64。
2025-04-16 11:45:16
475
原创 XCTF-web(三)
拦截数据包添加:X-Forwarded-For: 123.123.123.123添加:Referer: https://www.google.com。
2025-04-15 20:17:13
472
原创 XCTF-web(一)
查找flag:127.0.0.1;尝试万能密码:’ admin or 1=1 – #用max hackbar在url后面加上?根据题目提示,查看一下robots.txt。127.0.0.1;将源代码中的disabled删除。看一下/cookie.php。查看/robots.txt。选择post,添加b=2。用爆破出来的密码进行登录。查看一下cookie。
2025-04-15 16:59:49
531
原创 HackMyVM-Djinn
输入id,跳转到了别的页面,但是url有返回,说明存在命令执行。看一下/home/nitish/.dev/creds.txt。看一下7331端口,尝试写脚本,没出来,等下再看看。22端口没有开,想到了刚才的1337端口。提交反弹shell失败了,绕过一下。反编译以后,看到会判断s=num。21端口可以匿名登录。
2025-04-14 14:59:05
836
原创 HackMyVM-Warrior
把mac地址修改一下00:00:00:00:00:a0-00:00:00:00:00:af在访问。用loco和Zurviv0r1尝试登录,失败了。再看一看,尝试用bro,成功。
2025-04-09 14:38:17
253
原创 HackMyVM-University
还需要再创建一个项目,用我们刚才创建的用户登录就好,如果创建失败可以手动在靶机创建:mkdir -p /home/sandra/projects/test。/documents.php可以上传文件,fileupload.php未做任何文件类型验证或限制,并且可以看到上传目录studentpic/从文件中找到了一段字符串,试试是不是密码。看一下80端口,一个登录页面。找到了一个git仓库。看看有没有可以利用的。切换sandra成功。
2025-04-08 10:01:52
335
原创 HackMyVM-Preload
什么是 LD_PRELOAD?LD_PRELOAD 是 Linux 下的一个动态链接器特性。它允许用户在程序运行前指定要优先加载的共享库(.so 文件)。如果这个共享库里实现了程序里会调用的函数,它会覆盖系统默认的版本。所以我们可以写一个 .so 文件(共享库),它在加载时执行任意代码,比如提权运行 /bin/bash!默认 sudo 会清除这个变量,env_keep+=LD_PRELOAD,表示系统没有清除它!这就给了我们机会!编写一个恶意共享库,编译。
2025-04-07 12:21:08
386
原创 HackMyVM-Comingsoon
在/index.php下找到一条注释,并且看到cookie不对劲,尝试解密。四个电影名,尝试提权,密码都不对,看大佬说密码是带有数字的动画电影名字。尝试绕过,成功用phar上传,上传以后会自动跳转到上传位置。尝试将cooke后面改为dHJ1ZQ==(true)/etc下有passwd和shadow文件,下载下来。在/var/backups下找到一个压缩包。尝试寻找敏感文件,没找到。寻找一下有没有可以利用的。上传一个反弹shell。合并一下文件,然后爆破。切换到scpuser下。
2025-04-06 16:23:56
590
原创 HackMyVM-Isengard
之前我们找到了一个ring.zip,但没什么用,在寻找一下。目录扫描什么都没扫到,回去看看是不是漏掉了什么。/mellon.php什么都没有,模糊测试。访问一下/ring.zip会自动下载。利用他反弹一个shell。看一下都有什么可以利用的。看一下有没有可以利用的。
2025-04-03 01:45:06
715
原创 HackMyVM-Breakout
cap_dac_read_search=ep 允许程序绕过 DAC,这意味着 tar 可以访问原本 cyber 用户无权访问的文件。通过 tar 读取 /var/backups/.old_pass.bak 获取密码。
2025-04-01 16:22:33
527
原创 HakerMyVM-Stars
把root信息复制到文件里,然后爆破一下。同上一个所说,有三个被替换为了*在cookie里找到了一段编码。看一下有没有可以利用的。
2025-03-31 15:56:11
278
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人