BUUCTF
文章平均质量分 71
bbb07
行百里者半于九十
展开
-
一道[CSCCTF 2019 Qual]FlaskLight的详解再遇SSTI
做这道题的时候,再次深入了解了一下SSTI,不过发现去讲解这题原理的文章实在是太少了,额也有可能是大佬觉得没有必要讲,不过在这里还是记录一下自己的一些解题思路,一方面也是防止自己忘记,可能会有错误,欢迎前来指正。.........原创 2022-07-29 20:42:00 · 1750 阅读 · 0 评论 -
[Zer0pts2020]basename函数漏洞
打开靶场后可以直接点击Source进入源码,题目很明确告诉如果提交的参数一致则得到flag源码:<?phpinclude 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)")原创 2021-12-06 11:11:12 · 1936 阅读 · 0 评论 -
PHP伪随机数漏洞,以及php_mt_seed脚本的使用
目录mt_rand()存在的问题例:[GWCTF 2019]抽奖使用php_mt_seed4.0工具爆破seed函数 mt_srand() mt_rand() mt_srand(seed)函数通过分发seed种子,依靠mt_rand()使用 Mersenne Twister算法返回随机整数漏洞构造代码如下<?php mt_srand(123); echo mt_rand();?> 而如果重新构造一次,将生成的随机数多.原创 2021-12-04 14:10:04 · 5805 阅读 · 2 评论 -
[MRCTF2020]三关套娃writeup
考点 PHP解析字符串特性 PHP弱类型绕过 jother编码解码 Client-ip伪造ip data://伪协议 change函数 第一关<!--//1st$query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE原创 2021-11-28 18:03:48 · 2959 阅读 · 0 评论 -
[BJDCTF2020]EasySearch之SSI注入
开启靶机,题目提示easysearch,应该不是考SQL注入类型的题,然后利用御剑扫出了隐藏文件/index.php.swp,这个文件是一个临时交换文件,用来备份缓冲区中的内容。如果文件正常退出,则自动删除此文件访问获得源码<?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'..原创 2021-11-24 19:54:10 · 2511 阅读 · 1 评论 -
[NPUCTF2020]ReadlezPHP与assert函数利用
在URL前添加view-source:即可查看源码 点击/time.php?source跳转如下页面创建一个HelloPhp类和两个变量$a和$b,将a初始赋值"Y-m-d h:i:s",b初始赋值"date",最后输出$b($a),显然b括号包含a,如果将b赋值为函数,a赋值为命令,是否可以执行需要的命令呢?如果以get方式提交source则终止程序,以get方式提交的data则反序列化data,所以我们需要传入序列化后的值执行我们需要的命令我们将a更改为phpinfo(),b更改为...原创 2021-11-23 12:38:58 · 3088 阅读 · 0 评论 -
[MRCTF2020]Ezpop
pop链的利用多种魔术方法的了解__wakeup() //使用unserialize时触发__get() //用于从不可访问的属性读取数据__toString() //把类当作字符串使用时触发__invoke() //当脚本尝试将对象调用为函数时触发直接给出如下源码,先提示我们flag在flag.php下:Welcome to index.php<?php//flag is in flag.php//WTF IS THIS?//Learn From https://原创 2021-11-21 23:14:14 · 2351 阅读 · 0 评论 -
[网鼎杯 2020 朱雀组]Nmap
这道题与[BUUCTF 2018]Online Tool的解题方式一些有些类似,都是利用nmap上传文件连接,主要考察nmap的一些用法首先右击查看源码,提示flag在/flag下 进行简单的ping操作nmap下的选项 -oN 标准保存 -oX XML保存 -oG Grep保存 -oA 所有格式保存 构造payload:' <?php @eval($_POST["hack"]);?> -oG hack.php 'php被.原创 2021-11-12 13:33:19 · 2822 阅读 · 0 评论 -
WEB—无列名注入与过滤information_schema
一开始由于注册admin的时候,告知用户已被注册,以为需要爆破admin密码,失败后尝试万能密码,发现也不行。。。注册新用户后又对广告的xss研究半天,虽然怀疑过SQL,后来没想到真的是SQL注入知识点 无列名注入 过滤information_schema 随便注册一个账户登录,进去后可以发布广告【千万不要写入一个xss,弹来弹去,盲猜你们会尝试】发布一个广告名为:1',内容随意 点击广告详情,弹出关键报错信息,数据库为MariaDB继续注入,发布一个广告名为:.原创 2021-11-09 15:27:45 · 2765 阅读 · 0 评论 -
[CISCN 2019 初赛]Love Math
<?phperror_reporting(0);//听说你很喜欢数学,不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){ show_source(__FILE__);}else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算"); } $blacklist = [' ', '\t', '\r.原创 2021-11-04 10:51:08 · 1474 阅读 · 0 评论 -
[WUSTCTF2020]朴实无华wp_弱类型、intval函数使用不当
知识点:intval函数绕过,php弱类型,空格绕过cat绕过题目一打开显示Hack me利用御剑扫出了robots.txt文件进入robots.txt提示进入/fAke_f1agggg.php,结果给出了一个假的flag在响应头内找到关键信息,/fl4g.php 访问之后获得源码:<?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);highligh原创 2021-11-03 11:42:06 · 2871 阅读 · 0 评论 -
[安洵杯 2019]easy_serialize_php反序列化对象逃逸
知识点:get与post传参反序列化漏洞反序列化中对象逃逸file_get_contents函数单击sourc_code跳出源码: <?php$function = @$_GET['f'];function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; ret原创 2021-11-02 11:08:06 · 3811 阅读 · 0 评论 -
[BJDCTF2020]Cookie is so stable
服务端模板注入攻击一道非常简单的模板注入,从cookie入手第一次见过,以后忘记了还可以捡起来刚开始做的时候,根据题目意思还以为是道传入XSS获取cookie的题,测试无果后看了一眼wp,发现其实是个存在于饼干的SSTIhint.php源码页面也给出了对应的提示首先在输入框输入admin,burp抓包再次刷新当前登录的页面可以看见,在cookie尾部新多了一个user=admin,测试是否是注入点输入{{7*'7'}},返回49可以判断为 Twig 模块输入{{7原创 2021-10-30 11:05:45 · 649 阅读 · 0 评论 -
XML、XXE注入与CTF下的XXE
在学习XXE漏洞之前,首先一起学习一下什么是XMLXML是什么?是种可扩展标记语言,本质上被设计用来传输、存储数据以及结构化,而非显示数据,可以简单理解为不能做任何事的纯文本常见的XML结构如下:<?xml version="1.0" encoding="utf-8"?>#XML声明<!DOCTYPE note [<!ELEMENT note (to,from,heading,body)><!ELEMENT to (#PCDATA)>&原创 2021-10-27 23:32:20 · 1826 阅读 · 0 评论 -
[网鼎杯 2020 朱雀组]之phpweb两种不同的解题方式
目录方法一:方法二:知识点:1)黑名单取巧绕过2)PHP的file_get_contents函数使用3)PHP序列化与反序列化构造访问靶机,观察页面,开始时首先加载了一张图片,随后刷新回显时间,并且网页每隔一段时间会刷新一次,频率大概五秒一次F12查看源码,和观察的一样,setTimeout("document.form1.submit()",5000)每隔五秒钟将会提交一次form1,然后是一串时间字符串2021-10-20 12:14:50 pm.原创 2021-10-21 00:23:15 · 8788 阅读 · 4 评论 -
[BJDCTF2020]Mark loves cat变量覆盖
首先用dirsearch扫描下目录由于BUUCTF限制发包量,更改扫描线程命令:python dirsearch .py -u [url] -e * -t 3 -s 0.2,扫除/.git泄露得到两个php文件,kali内githack扫出来但是下载失败了flag.php<?php$flag = file_get_contents('/flag');?>index.php<?phpinclude 'flag.php';$yds = ..原创 2021-10-18 19:24:48 · 1021 阅读 · 1 评论 -
preg_replace /e模式下代码漏洞
<?phperror_reporting(0);$text = $_GET["text"];//以get方式提交text$file = $_GET["file"];//以get方式提交fileif(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){//file_get_content需要读到一个$text传来的内容为I have a dream的文件 echo "<br>...原创 2021-10-17 22:35:40 · 1167 阅读 · 1 评论 -
[HCTF 2018]admin——Unicode欺骗
一、暴力破解基于表单的暴力破解缺少验证码匹配,无登录次数限制等等条件,可以对用户名或密码暴力破解burp抓包设置target原创 2021-10-16 22:53:49 · 1337 阅读 · 0 评论 -
[CVE-2018-12613]我有一个数据库
当我们拿到网站的时候,首先需要对这个网站进行信息收集,扩大漏洞发现的概率,比如whois、指纹识别、扫描目标站点的目录,寻找敏感信息、后台、是否存在备份文件等等,其实靶场也一样,如果觉得麻烦,也可能错过发现一个可利用的漏洞使用御剑目录扫描出两个敏感目录robots.txt与phpmyadmin这里还扫描出了一个文件robots.txt(告知网络搜索引擎),此网站中的哪些内容是应该或者不应该被搜索引擎的漫游器获取的)访问phpmyadmin,注:此处无需密码.原创 2021-10-09 01:07:48 · 987 阅读 · 0 评论 -
BUUCTF-The mystery of ip【Smarty-SSTI模板注入】
当点击flag的时候,弹出ip地址怀疑需要利用X-Forwarded-For伪造127.0.0.1绕过使用bp抓包,增加X-Forwarded-For:127.0.0.1,重放似乎只是将ip回显?通过XFF头来获取信息的,这个IP的值受XFF头控制 。将XFF头改为{2*2}会发现该位置的值变为了4,便可以确定这里存在SSTIpayload:X-Forwarded-For:127.0.0.1{system("ls")}查看当前目录下的flag.php内是否藏有flag,可..原创 2021-10-07 22:48:46 · 1176 阅读 · 0 评论 -
无参数RCE
[GXYCTF2019]禁止套娃<?phpinclude "flag.php";//执行并包含flag.phpecho "flag在哪里呢?<br>";if(isset($_GET['exp'])){//以get方式提交exp,非空且为字符串 if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/.原创 2021-10-02 12:20:42 · 2181 阅读 · 1 评论 -
[网鼎杯 2018]Fakebook——SSRF/反序列化漏洞/SQL注入
解法一解法二解法三考点• 目录扫描• SSRF• SQL注入• PHP反序列化前言:当我们拿到网站的时候,首先需要对这个网站进行信息收集,扩大漏洞发现的概率,比如whois、指纹识别、扫描目标站点的目录,寻找敏感信息、后台又或者是否存在备份文件,其实靶场也一样,如果觉得麻烦,也可能错过发现一个可利用的漏洞开始之前,先扫描一下该网站下目录,查看有什么敏感信息泄露直接扫出了flag.php文件,有是有,但是访问后,回显内容为空,当我们确定了一个原创 2021-09-29 15:13:18 · 3755 阅读 · 1 评论 -
[MRCTF2020]Ez_bypass
考点:MD5强碰撞,PHP弱类型右击查看源码include 'flag.php';$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5($gg) && $id !== $gg) { echo 'Yo原创 2021-09-28 19:35:40 · 1282 阅读 · 0 评论 -
HardSQL报错注入
使用fuzz测试,过滤很严重,包括=【用like代替】,空格【用()代替】,union【用or代替】等等都被过滤使用堆注入查询,似乎不行,而且substr也被禁用,尝试使用报错注入updatexml或extractvalue构造查询数据库payloadadmin'or(updatexml(1,concat(0x7e,(select(database())),0x7e),1))#构造查询表payloadadmin'or(updatexml(1,concat(0x7e,..原创 2021-09-27 14:59:25 · 1267 阅读 · 0 评论 -
password=md5($pass,true)绕过、弱类型、MD5强碰撞
在输入框查询任何内容都返回为空,尝试sql注入无果,用bp抓包select * from 'admin' where password=md5($pass,true)确实执行了我们的查询,但是在通过where时,条件不匹配,导致报错需要password=md5($pass,true)条件为真时,才会执行select * form adminmd5()函数会将我们输入的值,加密,然后转换成16字符的二进制格式,由于ffifdyop被md5加密后的276f722736c95d...原创 2021-09-27 11:27:51 · 4248 阅读 · 1 评论 -
反序列化漏洞——I Hvae A Cat
【因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯不愧是我!!! 】根据题目提示的备份网站,可以使用网站备份文件的字典进行爆破,得到www.zip备份文件 下载后解压里面的class.php、flag.php和index.php文件一开始以为是简单的扫后台路径得到flag,在flag.php提交flag时出错,好吧果然不是这么简单的代码审计其余两个php文件其中index.php<?php include 'class.php'; ..原创 2021-09-21 00:23:25 · 1539 阅读 · 0 评论 -
BUUCTF-WEB-Upload[详细wp]
关于文件上传的题目首先上传一句话.php文件,结果显示not image<?php @eval($_REQUEST['password']);?>猜测当我们上传文件的时候,被标识的文件类型被过滤,即尝试MiMe绕过MiMe是什么:MIME由一串简单的字符串组成,初期标识了邮件e-mail的附件的类型,后来在html文件中可以使用content-type属性表示,描述了这个文件类型的。MiMe常见的格式AUDIO/WAV WAVE音频流媒体文件...原创 2021-09-19 00:03:18 · 2595 阅读 · 0 评论 -
[GXYCTF2019]Ping Ping Ping
一道经典的远程连接命令执行ping题,过滤的内容有点多,看了一眼wp没想到有三种不同的解题思路,很有意思目录方法一方法二方法三与上题不同的是,这里没有输入框,提示我们/?ip=?,应该是在url内执行语句有回显,尝试利用管道符|执行ls/?ip=127.0.0.1|ls难道。。。可以直接cat flag.php?? /?ip=127.0.0.1|cat flag.php被发现了,看来是我高兴太早了 用屁股想了一...原创 2021-09-17 21:33:55 · 1268 阅读 · 0 评论 -
[SUCTF 2019]EasySQL
提示SQL注入尝试mysql的fuzz对输入框进行测试 某位大佬的fuzz`~!@#$%^&*()-_=+[]{}|\;:'",.<>/? ----+/**/&&||<>!(<>)andorxorifnotselectsleepunionfromwhereorderbyconcatgroupbenchmarklength...原创 2021-09-17 11:29:53 · 1232 阅读 · 0 评论 -
Actf2020 Include[关于php://filter协议读取文件的wriptup]
[ACTF2020 新生赛]Include在点击tips后,提示需要从中找出flag这里需要用到php://filter协议读内容php://filter/read=convert.base64-encode/resource=index.phpphp://filter 是php中独有的一个协议,可以作为一个中间流来处理其他流,也可以进行任意文件的读取,具有resource(要过滤的数据流)、read(读链筛选的数据流)、write(写链筛选的数据流)等等参数。在知道使.原创 2021-09-16 16:35:07 · 1475 阅读 · 1 评论