T大白兔奶糖-CSDN博客

原创 Hadoop 未授权访问漏洞复现

Hadoop是一个由 Apache基金会所开发的分布式系统基础架构，由于服务器直接在开放了Hadoop机器HDFS的50070 web端口及部分默认服务端口，黑客可以通过命令行操作多个目录下的数据，如进行删除，下载，目录浏览甚至命令执行等操作，产生极大的危害。

2024-05-26 11:04:44 885

原创 weblogic CVE-2017-10271漏洞复现

名称：weblogic XMLDecoder反序列化漏洞(CVE-2017-10271)原理：Weblogic的WLS Security组件对外提供webservice服务，其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化漏洞，导致可执行任意命令。攻击者可以构造XML语句，上传一句话木马，getshell。

2024-05-24 22:57:12 1302

尝试输入，发现一直都是报错，随便输入账号和密码报错，用户名admin仍然报错（猜了一下用户名可能是这个），我们尝试对此进行爆破，利用burp的intruder进行爆破，爆破出用户名和密码（前提是字典里存在用户名和密码的值），发现用户名是admin，密码是admin888。我们抓取登录那一瞬间的包，将他重发（repeater），将他重新发送，我们查看响应包，发现有个flag，但是里面的值跟提交的形式不一样，应该是加密了。利用工具进行解密，发现是base64的加密，flag出现。

2023-11-30 20:10:50 310

原创墨者学院-SVN信息泄露漏洞分析

去网上查一下，.db文件怎么打开，好像Navicat premium，可以用里面的SQLite打开，但是我的Navicat版本不行，就重新下载SQLite Studio。根据题目的提示，可以知道存在SVN泄露，去网上查一下SVN信息泄露。打开在表NODES的数据里发现有个Key is here.php。在url中添加/.svn/wc.db，会发现自动下载wc.db。下载链接：https://sqlitestudio.pl/我们可以尝试利用里面wc.db数据库文件，获取数据库信息。

2023-11-29 23:41:09 184

原创 BUUCTF[RoarCTF 2019]Easy Java

我们把com.wm.ctf.FlagController再次传参，还需要在classes目录下，注意.需要变为/，因为这是java特性，最后需要.class。下载完成后打开发现最后有个flagcontroller。我们将post传参改为WEB-INF/web.xml。点击help，发现url存在一个叫help的文档。发现里面有一个像base64的，可以尝试解密一下。发现自动下载了help.docx，打开发现。我们利用post方法进行传参。

2023-11-26 15:38:14 130

原创 BUUCTF[SUCTF2018]single dog

找到output，发现里面有jpg和zip，jpg就是最开始我们下载出来的图片，所以我们点开zip，发现里面存在00000226.zip，我们将它解压一下，发现了1.txt，打开发现都是颜文字，所以可能存在颜文字加密。发现并没有什么东西，我们尝试利用kali的foremost将其分离一下，看一下是否存在其他文件，发现真的存在，且叫1.txt。由于题目中提示了，是包上flag{}，所以这里需要将SUCTF改为flag，提交即可。将密文放进最上面的框中，点击解密，发现出现flag。

2023-11-24 09:54:36 228

原创 CTFshow-web-红包题第七弹

前面一步用git_extract工具扫描，可以查看backdoor.php源码（但是我搜了很久也还是下载不来，从github上下载了，就不会了），如果用了git_extract工具，就可以得到Letmein后门。在url后面添加/.git/index，发现下载了，打开发现里面有个backdoor.php。发现/var/www下存在flag.txt文件，但是蚁剑中无法查看，利用高亮函数传参查看内容。利用dirsearch工具扫描，发现了一个/.git/index。

2023-11-23 14:40:53 87

原创 CTFshow-web-红包题第六弹

首先获得key.dat，首先访问一下这个文件，emmm，果然直接下载了，那么第一层的绕过我们直接就使用了key.dat文件，第二层的sha1值我们随便上传一个字符串即可，所以我们需要并发编程，将$receiveFile中的内容在极短时间内进行替换，这里我们可以编写一个python脚本来进行解题。发现web.zip目录是直接下载的，另外两个会跳转页面，但是内容是显示什么什么然后error。发现是跟key.dat比较，我们尝试在url中添加/key.dat，发现可以下载，我们利用下列代码。

2023-11-03 20:26:17 227 1

原创 CTFshow-web-web14

发现是get传参，变量是c，c的值进入sleep函数等待，c值越大，等待时间越长。进入switch语句判断，所有的case判断完成后break退出，只有到case 3时，继续到case 6000000，然后echo一个$url，如果我们想看c=6000000的值，就要先构造c=3。访问secret.php文件，虽然没有内容，但是没显示报错，说明文件存在，但是读取方法不对，apache的默认网站根路径是 /var/www/html, 我们试一下读这个文件的内容。利用数据库的文件读写功能读取文件内容。

2023-11-03 13:29:21 236

原创 CTFshow-web-web13

user.ini中两个中的配置就是auto_prepend_file和auto_append_file。这两个配置的意思就是：我们指定一个文件（如1.jpg），那么该文件就会被包含在要执行的php文件中（如index.php），相当于在index.php中插入一句：require(./1.jpg)。由于后缀问题服务器无法解析该php语句，我们先上传a.txt，再上传.user.ini文件。先尝试在url后添加/upload.php.bak，发现直接下载了，我们打开下载的。.DS_Store文件泄漏。

2023-10-27 16:21:06 370

原创 CTFshow-web-红包题第二弹

在Linux的PHP环境下面,客户端(页面)如果对服务器上传文件,会先生成一个临时文件,存放在根目录下面的tmp文件夹下面,也就是/tmp目录下面.之后再对临时文件进行处理,比如是否将其存储到本地.无论服务器是否存在一个上传文件的请求,只要我们上传了一个临时文件,就一定会在该目录下面生成临时文件,但是会在生成后立刻删除.这个临时文件有一个特征,就是以php开头,后面跟6个随机字符,比如php123abc.因此我们可以使用通配符*对该文件进行匹配.通配符对上传的文件进行匹配，tmp目录写成?

2023-10-24 23:04:37 374

原创 CTFshow-web-web12

highlight_file()函数可以用于将一个PHP文件的代码高亮显示，并输出到页面上或者保存到文件中。利用burpsuite进行抓包，发现是get传参。glob()函数返回匹配指定模式的文件名或目录。glob(“.txt”)匹配以txt后缀的文件。我们使用高亮函数，将长的文件显示一下。我们将当前目录下的文件打印出，输入。php中有个函数glob();glob(“”)匹配任意文件。尝试远程代码执行，传入参数。查看源代码，发现有个提示。

2023-10-20 22:40:11 128

原创 CTFshow-web-web11

我们将密码password改为空，再将PHPSESSID也改为空，就能满足密码相等，再点击放包，flag显示。发现过滤了很多，后面发现当我们输入的密码与session中保存的密码继续匹配，相同即可输出flag。我们利用burpsuite进行抓包，点击登陆，抓到的包显示如下。

2023-10-16 23:06:42 91

原创 NSSCTF-2023年SWPU NSS秋季招新赛（校外赛道）-NSS_HTTP_CHEKER

先将抓的包发送给Repeater（重发器），在Repeater里进行传参等，点击发送，右边板块点击render，找出flag。根据要求，我们将GET传参，POST传参，Cookie传参，使用NSSCTF客户浏览器，使用本地网络访问。我们可以利用burpsuite进行抓包，对上面的要求进行更改，打开burp，抓到的包如下。

2023-10-14 23:03:52 1021

原创 NSSCTF-2023年SWPU NSS秋季招新赛（校外赛道）-colorful_snake

发现有function this_is_flag字样，复制encodedStriing内的内容，去搜索。两个都试一下，发现只有第二个的flag能成功。发现是ASCII码，找到在线转换ASCII。右键点击检查，找到Source。

2023-10-14 22:19:49 859 1

原创 BUUCTF-NewStarCTF 2023 公开赛道 WEEK2[WEB]include 0。0

发现有flag.php，且发现base等被过滤了，利用php伪协议，再通过利用iconv将utf-8编码转为utf-7编码，读取flag.php，构造payload。利用utf-7在线转换，得出flag。

2023-10-14 22:01:20 106

原创 CTFshow-web-web10

因为加入with rollup后 password有一行为NULL，我们只要输入空密码使得（NULL==NULL）即可满足。源码中先根据用户查询用户信息, 用户名通过以后, 再判断密码是否相同, 我们绕过用户名的过滤条件, 再使用 with rollup注入绕过密码。2.with rollup：group by 后可以跟with rollup，表示在进行分组统计的基础上再次进行汇总统计。点击取消键，意外发现触发一个下载任务index.phps文件，打开文件查看，显示如下。这样就能登录成功了。

2023-10-13 21:32:08 148

原创 BUUCTF-NewStarCTF 2023 公开赛道 WEEK2[WEB]游戏高手

输入gameScore=9999999999（数值大于它最开始的要求的数值就行），回车。先右键点击检查，点击Sources，将gameScore复制到Console控制台。我们直接碰到其他飞机，让游戏结束，点击一次确定之后，就会弹出flag。回到原来的游戏界面，继续玩，会发现成绩已经超过所要求的。

2023-10-13 16:52:52 495 1

原创 CTFshow-web-web9

而 Mysql 刚好又会把 hex 转成 ascii 解释，因此拼接之后的形式是1select * from ‘admin’ where password=’’ or ‘6xxxxx’，等价于 or 一个永真式，因此相当于万能密码，可以绕过md5()函数。发现SQL中使用了md5()函数加密，我们可以利用MD5加密漏洞来绕过，发现还不能超过10，不然会显示错误。访问/index.phps文件，将其下载至本地，打开，显示如下。输入密码ffifdyop，显示如下，flag出现。所以用ffifdyop绕过。

2023-10-12 16:21:06 159

原创 CTFshow-web-wbe8

经过一系列payload的尝试后，发现本题过滤了空格、union、and、逗号等，这也意味着无法使用联合查询了，那么此时就需要我们编写脚本来解决。经过一系列payload的尝试后，发现本题过滤了空格、union、and、逗号等。由于SQL恒不成立，数据库查询不到任何数据，从而导致页面显示为空，显示如下。由于SQL恒成立，数据库将查询出表中的所有内容，并返回到前端，显示如下。首先确定注入点，输入以下payload使SQL恒成立。输入以下payload，使SQL恒不成立。代码跑一会，flag出现。

2023-10-12 15:34:25 67

原创 CTFshow-web-web7

尝试联合注入，先来判断显示位,此处id传一个-1，由于id通常不为负数，后端根据id查询不到内容，就只能展示联合查询的结果，从而帮助我们判断字段显示的位置，输入。发现只有一个flag字段，查询flag表中的flag字段，输入。点击第一篇，发现url中有id=1，可能存在sql注入漏洞。当前使用的数据库是web7，再查询当前数据库的所有表，输入。发现一个flag表，再查询flag表中的所有字段，输入。尝试输入id=1 and 1=1#，发现有错误。回显位置为2，查询当前使用的数据库，输入。

2023-10-11 10:17:02 168

原创 CTFshow-web-web6

获取到数据库中的表flag和user，我们去获取flag表中的所有字段，输入1’or(1=1)union(select(1),(select(group_concat(column_name))from(information_schema.columns)where(table_schema=‘web2’)and(table_name=‘flag’)),3)#发现登录成功了，我们再使用联合注入获取当前使用的数据库，输入1’or(1=1)union(select(1),database(),3)#

2023-10-09 22:35:46 141 1

原创 CTFshow-web-web5

不同数据的md5值一般不会相同，但是在php文件中，php在处理字符串时会把每一个以“0E”开头的哈希值都解释为0，当两个字符串的md5值都以0E开头时会被识别成科学计数法，会默认都为0，则是相同的。在这选的是v1=QNKCDZO，v2=240610708。我们可以看到源码，可以知道我们需要通过GET请求传递两个参数v1和v2，且v1需要是字母，v2是数字或字符串，两个参数的md5值还得相等。is_numeric()函数用于检测变量是否为数字或数字字符串,是则返回true,否则返回false。

2023-10-09 19:25:56 168 1

原创 CTFshow-web-web4

点击放包，发现日志文件的内容多了一条访问记录，但是没有我们插入的一句话木马（因为日志文件中的代码会被执行，但是不会显示）php eval($_POST['txy'])?> // ['']单引号里面是连接的密码。可以使用代理工具Burp Suite抓包，在User-Agent中插入一句话木马。包含日志文件，查看日志文件的信息，可以看到日志文件中保存了网站的访问记录。找到www目录下有一个flag.txt文件。进入此文件，找到flag。

2023-10-08 22:48:55 215 1

原创 CTFshow-web-web3

-- post请求内容构造需要执行的代码。url=php://input – GET请求的url中拼接伪协议。使用Burp Suite进行抓包，利用php://input伪协议执行PHP代码。我们在url地址栏中拼接url参数，访问ctf_go_go_go，显示如下。点击放包，回到页面，显示如下。

2023-10-07 20:46:08 113 1

原创 CTFshow-web-web2

获取flag表的字段，输入1’ union select 1, (select group_concat(column_name) from information_schema.columns where table_schema=‘web2’ and table_name=‘flag’) ,3 # 显示如下发现只有一个字段。获取flag表的数据，1’ union select 1,(select flag from flag),3 # 显示如下。

2023-10-07 20:29:24 197 1

原创 BUUCTF[ACTF2020 新生赛]Exec

发现里面有flag文件，我们利用cat进行查看，输入127.0.0.1&cat /flag，显示如下。我们输入127.0.0.1&ls，显示当前目录的所有文件，显示如下。再让其显示根目录，输入127.0.0.1&ls /，显示如下。尝试输入127.0.0.1，发现可以ping通，显示如下。

2023-09-15 10:41:11 74

原创 BUUCTF[ACTF2020 新生赛]Include

可能php://input被过滤，我们可以利用其他伪协议，比如php://filter来进行文件包含。当它与包含函数结合时，php://filter流会被当作php文件执行，所以我们一般对其进行编码，阻止其不执行。file=flag.php，可以猜测存在文件包含，利用php伪协议进行攻击，先查看文件，输入/?file=php://input，显示如下。点击tips，发现显示如下。

2023-09-08 19:20:07 172 1

原创 BUUCTF[HCTF 2018]WarmUp

我们根据上面提示，将原url后加上/source.php?/ffffllllaaaagggg，flag就出现在最下面，显示如下。我们将/source.php换成/hint.php，发现了本题flag格式为ffffllllaaaagggg，显示如下。我们在url后面加上/source.php，进行代码审计，分析源码，发现有个hint.php，显示如下。我们鼠标右击，查看网页源代码，发现有个source.php，显示如下。打开靶场，发现是一张滑稽的表情，显示如下。

2023-08-01 10:58:27 82 1

原创墨者-投票系统程序设计缺陷分析

然后修改ip，进行投票，添加一个X-Forwarded-For:192.168.247.1（图中的_写错了，都改为-）X-Forwarded-For是一个HTTP扩展头部，主要是为了让Web服务器获取访问用户的IP地址。我们利用burp suite进行抓包（抓的是点击ggg），显示如下图然后修改真实ip，进行投票。点击进入投票，根据需要我们投给ggg，发现投完一票，再去投发现不能再投了，显示如下。完成爆破完之后，回到原页面，把代理插件关掉，再刷新页面，KEY就会出现，显示如下图。打开靶场，显示如下图。

2023-07-12 22:54:55 138 1

qq_68581192的博客