- 博客(107)
- 资源 (2)
- 收藏
- 关注
RSS订阅
原创 wsl --update 进度一直为0
wsl --update 进度一直为0 可能是因为默认的wsl --update 是从微软商店下载的,微软应用商店就经常出现网络的问题。在wsl --update 后面加上 --web-download 就可以从github上进行下载。
2024-05-22 07:47:14
858
3
原创 [强网杯 2019]Upload
这里except的参数可控我们让他成为键值的方式,最总我们要构造成upload_img方法,键为传入的index值为upload_img那返回给call就是this->upload_img(),进入upload_img方法后我们要设置checker的值为0,当值为0经过if($this->checker)时不进行判断然后设置ext为1进行复制文件的操作。这里我们可以把checker的值设置new Profile那就会变成调用Profile类中的index方法。魔术方法就这几个,继续分析寻找可以利用的漏洞。
2023-12-17 19:52:22
237
原创 addslashes()函数
它通常用于准备字符串,以防止其中的字符被误解为具有特殊含义的字符。这个函数的主要用途是在构建 SQL 查询语句或其他需要转义特殊字符的上下文中,以防范一些安全问题,比如 SQL 注入。根据上面当id=\\0,传递后为\0通过addslashes()函数变成\\0。这里我们发现通过str_replace对\\0 %00 \' ' 替换为空。这里会匹配\0替换为空最后的值为\在语句中就是\'转义了'我们的值为\\0,但是真正赋值为\0(第一个\为转义符)str_replace()中表示匹配\0(第一个为转义)
2023-12-14 13:14:48
697
原创 upload-labs
通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。这里没有对文件后面的空格进行处理,可以在文件后面加上空格,由于windows特性,文件名后空格会被直接删除。这里对于.和空格的检测只进行一次我们使用. .先进行.的处理再到 的处理就可以逃逸最先的.这里的对于后缀名的处理和之前不一样,这里采用将匹配到的后缀名替换为空使用双写绕过。这里和上面的差别在于没有对我们传入的文件名做改变。
2023-12-11 18:50:29
88
原创 sqli-labs(11)
通过测试1 1’ 1” 1‘ 1=1 1=0 得到是1’)这里的表名,列名要根据爆破出来的进行修改。这里没有报错使用时间盲注。通过报错信息知道是")通过报错知道是'))
2023-12-04 16:01:07
82
原创 sqli-labs(10)
通过尝试1 1‘ 1” 1) 然后and 1=1 1=0 得到是)尝试 1 1’ 1“ 1) 1‘) 然后1=1 1=0 得到是’)通过尝试1 1‘ 1” 然后1=1 1=0 得到是“对比52多了‘直接给脚本。
2023-12-04 10:45:11
206
原创 sqli-labs(5)
判断是注释符被过滤了我们用‘1’=‘1来闭合后面的’这里不能使用order by来判断列数直接通过union select来判断。
2023-11-27 15:14:40
58
原创 sqli-labs(4)
观察页面发现是一个用来更改用户密码的页面,页面中出现了用户Dhakkanuser输入Dhakkan passs输入1发现成功找注入点先在user尝试,发现不管输入什么都失败在pass中尝试注入在pass中输入1‘报错注入这里的select group_concat(username) from (select username from users)zx。
2023-11-26 20:25:40
145
原创 sqli-labs(3)
看到登录框直接or 1=1在hackerabar中我们可以看到这里是post传递的数据,在get中用--+来注释后面的内容 因为get中#是用来指导浏览器动作的,--代表注释+是空格,所以这里用#之后就和get的一样了order by 3报错联合注入。
2023-11-22 11:01:04
397
原创 sqli-labs(2)
输入?id=1' --+显示格式错误?id=1" --+正常 测试?id=1“ and sleep(5) --+ 发现并没有成功?id=1') --+显示格式错误继续尝试?id=1')) --+ 显示正常 测试?id=1“ and sleep(5) --+ 发现sleep执行对于语句闭合的尝试主要从 ' " ()来测试报错语句尝试发现不回显报错信息只会出现语法错误的信息发现存在布尔注入布尔注入即可以根据返回页面判断条件真假的注入通过length知道了数据库长度为8这里写一个布尔盲注脚本。
2023-11-16 18:15:18
119
原创 sqli-labs(1)
当id为1的时候回显正常通过‘发现报错,验证sql注入存在--+可以正常注释后面的内容,通过order by 查询有几列数据当查询4列的时候发现错误得到有3列的信息这里的id为-1,-1的数据不会存在给后面查询的1,2,3留下了显示位,正常为1时2,3的显示位为查询出的结果union select 联合查询找回显位置在2的位置替换为我们要查询的语句 database() 查询当前的数据库group_concat 用于将多个表名一起输出出来。
2023-11-13 09:28:28
149
原创 Polar jwt
JWT(JSON Web Token)是一种流行的跨域认证解决方案,可以实现无状态的认证机制。JWT的结构如下:头部(Header)先注册一下,注册admin显示用户名已存在,得知admin存在,通过注册用户登录。2. 服务器验证身份后,生成一个JWT,返回给客户端。3. 客户端存储JWT,并在每次请求时带上这个JWT。4. 服务器验证JWT的签名,并确认有效载荷的合法性。构造admin的jwt替换现在登录的jwt。通过C-jwt-cracker来解密。有效载荷(Payload)查看登录的包发现jwt。
2023-09-20 08:39:40
107
原创 CTFHUB ICS(3)
因为是plc的关机,我们直接过滤s7comm协议的内容然后是提供info的排序我们可以根据这个进行分析在plc中ack_data是对于job的响应这里ack_data返回了plc的stop即题目中描述的plc关机,而关机的发出属于job的信息所以我们去查找job里面的内容和ack_data里面的三次关机对应,共发出了三次stop根据题目flag{3201414D}
2023-09-07 20:24:12
350
原创 CTFHUB ICS(2)
还是通过strings输出文件发现这次只找到了flag的字符666c61677b就是flag的16进制通过strings和grep配合输出为10个数量的数据。
2023-09-07 08:09:50
131
原创 CTFHUB ICS(1)
把文件拖到kali里面去了unzip 文件名解压文件文件很多,我们先进到解压的文件夹里面linux命令的作用是在当前目录及子目录下递归查找文件,提取文件中的字符串,然后用grep过滤find . - 在当前目录及递归子目录下查找文件args - 将find命令的文件结果作为参数传递给后面的命令strings - 提取二进制文件中的可打印字符串$( ) - 在子shell中执行命令,并将结果作为字符串返回rep flag - 在strings的输出中查找包含"flag"的行。
2023-09-05 20:26:49
135
原创 CVE-2023-28303(截图修复)
这里的提示是 nipping tools 也就是CVE-2023-28303。漏洞产生是因为用win自带的截图对截图进行裁剪时,文件大小,数据不会被消除。之后对图片的高度进行不断修改尝试,发现图片很大,但是内容没有出现,这里由于时liunx可能图片选择不了,可以试下windows。这里的文件名是GRons 是Gronsfeld加密的提示。截出zip文件内容,把04 03 改为03 04。在做羊城杯的misc的时候发现了一个图片,点restoring tool。典型的图片高度不对,修改。
2023-09-04 20:05:42
1198
2
原创 [天翼杯 2021]esay_eval
这里因为匹配B A 类之后的数字判断是不是1 所以不能增加属性个数,我们可以在加真实属性的个数。这样$this->a->a() 就是 A类中的a()因为没有a()所以call会调用。还有这里匹配的是大写字母 类的名称大小都可以。发现Redis密码,猜测是Redis提权。call方法当调用一个不存在的方法时使用。而destruct的调用要在类销毁时调用。那destruct的调用我们要先创建B类。destruct中调用了不存在的a方法。MODULE LOAD 加载命令。这里B中的a用来实例化A。
2023-05-11 20:11:40
666
1
原创 NSSCTF (3)
我们打开js源码很明显这里当score大于60会出flag我们寻找到了getScore方法所在的地方之后发现他存在于Snake.prototype中再控制台中给getScore赋值再空格页面。
2023-05-11 09:50:50
565
原创 NSSCTF (2)
查看响应头发现有几个可能利用的信息1.hint 里面的Flag in localhost我们发现第一个是提示 第二个apache版本没有什么漏洞 但是php 7.3.15 存在cve漏洞这里题目规定 *.ctfhub.com 所以我们 要以这个结尾在 php 7.3中 get_headers()会截断URL中空字符后的内容所以我们可以通过空字符绕过通过%00截断这里显示要123我们构造127.0.0.123。
2023-05-05 19:10:27
582
1
原创 nssctf (1)
先找出口 很明显时 通过include 所以是append方法寻找调用append方法的地方发现__invoke魔术方法那调用__invoke方法当脚本尝试将对象调用为函数时触发寻找触发invoke的地方 发现 __get中function以函数执行get魔术方法读取不可访问的属性的值时会被调用寻找读取不可访问的属性的地方_toString 中$this->string->page 这里没有page这个属性的定义。
2023-05-04 20:01:42
613
原创 nssctf web (3)
这里我们可以传入username和password的值为布尔值的true那这个查询语句就一定为true先构建数组b:1;b:1;这里代表创建数组里面有两个键值对。
2023-05-04 10:58:30
715
原创 nssctf web
f12看源码得到/source发现是一个压缩文件这里的os.path.join函数存在漏洞os.path.join函数会以最后一个/开始拼接 如果存在./那所有的参数保留所以我们传入/flag 因为是/所以会以/flag为拼接得到文件所在的地方。
2023-04-27 20:13:30
526
原创 nssctf web
测试发现输入的内容会通过get传递但是没有其他内容观察一下响应头我们看到了这里的md5(string,raw)这里的string应该清楚就是字符串,是必选参数raw是可选参数 默认不写为FALSE。32位16进制的字符串。TRUE 代表16位2进制字符串。通过post传递这里是sql查询语句 目的是passdword=传递的值 在sql语句中 or 左右一边为true则语句都为true 这也是我们or 1 = 1 的由来,所有我们在这里要尝试构造带or的参数。
2023-04-25 20:14:15
1119
2
原创 [suctf 2019]EasySQL
这里先对输入内容进行尝试我们发现输入字符串页面不会回显猜测当输入为字符串不会执行我们测试输入数字发现为1及1以上的时候回显输入0无回显我们大概知道查询语句带上||运算符||运算符和or作用一样及||两边有一边为true则语句顺利执行按照我们的输入知道||右边为0也就是flase那我们不知道||右边的语句先构造*,1 代表查询所以内容 这里没有from 所以我们也就是试一试这就之间出来了,所以我们知道||右边是flag from flag。
2023-04-25 14:55:09
1029
原创 nssctf web 入门(10)
我们寻找ssti漏洞常用2*2这种因为在模板注入中{{str}}中如果而str是如果get post传递的值那有两总结果是输出2*2和4结果等于4证明执行了2*2返回了结果存在ssti 所以我们使用输入{{2*2}}或者直接传入2*2。根据这个页面我们知道了里面有app.py tempkating.py environment.py等py文件。class 魔术方法用于查找父类这里用于查找‘’也就是字符串的父类。这里看到这个猜测是通过get传入secret的值然后会机密我们的值。
2023-04-19 20:16:56
617
原创 nssctf web 入门(9)
可以猜测做了过滤这里可以bp跑一下看过滤了哪些尝试发现过滤了空格/**/在sql中代表注释符在mysql中这个可以用来代表空格发现--+被过滤#也不行我们试下url编码的#也就是%23成功了3个字段得到库名test_db这里提示非法操作经过尝试发现=被过滤在sql中like用于判断一个字符串是否匹配某个模式这里要在3的字段不然会报错?这里和之前的sql一样就不详细解释了如果不知道可以去看第8篇里面详细讲了这里就把空格换成了/**/和把=换成了like?在查询flag。
2023-04-18 14:22:17
296
原创 nssctf web入门(8)
参数是wllm这里直接‘ or 1 = 1 --+ 虽然返回了但没用通过’ order by 1 --+判断字段 发现order by 4时报错得到有3个字段通过‘ union select 1,2,3 --+ 发现2 ,3会显示在页面上通过‘ union select 1,database(),3 --+ 查询当前数据库库名得到库名为test_db。
2023-04-18 11:02:38
386
原创 nssctf web 入门(7)
这里通过nssctf的题单入门来写,会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。
2023-04-17 20:55:36
574
wydomain子域名收集
2022-03-26
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人