- 博客(61)
- 收藏
- 关注
RSS订阅原创 CTF之Simple_SSTI_1和Simple_SSTI_2
flag={{ config.__class__.__init__.__globals__['os'].popen('ls ../../').read() }}flag={{ config.__class__.__init__.__globals__['os'].popen('ls ../app').read() }}flag={{config}}就得到了flag。第一题第二题都一样,都是简单的SSTI漏洞,这里告诉我们传入的参数是flag。然后一个一个目录查看发现flag有关信息在app目录下。
2024-04-05 15:17:37
329
原创 CTF 之Zhuanxv
UserServiceImpl.class反编译后代码中是对空格进行了过滤,而sql中对回车自动过滤, 因此我们可以将空格字符换成%0A(ascii码表示换行符)。User.class反编译后是一个Bean文件,UserLoginAction.class反编译后是登录验证逻辑文件,InitApplicationContext.class反编译后是类加载器文件。其中暴露了使用的数据库,数据库账号密码,且其中包含了user.hbm.xml等配置文件,同样我们将其下载出来。很可惜进来了还是没有一点线索。
2024-04-04 22:42:44
966
1
原创 CTF之Web_php_wrong_nginx_config
hint.php告诉我们:配置文件也许有问题呀:/etc/nginx/sites-enabled/site.conf。file=./..././..././..././..././etc/passwd&ext==php绕过。将爆出来的东西整理一下,发现location /web-img开启了目录浏览 autoindex on;先对网站进行目录扫描,发现/admin/和/robots.txt。因此 alias 后面的路径是从系统根目录开始的 所以加一个../在/var/www下找到了。
2024-04-04 19:56:01
825
1
原创 CTF之filemanager
上传一个空的文件,但是文件名一定要是’,extension='.jpg,因为原来的SQL语句不允许修改后缀名,对后缀名进行了限制,使用这个名字是为了是修改的文件后缀名为空。进行目录遍历一下,发现了/www.tar.gz,就一个压缩包,但是这个压缩包里便是这个网页的php代码备份,可以访问下载下来分析分析。首先会查询之前上传的文件是否存在,如果返回不为空,则修改成对应的文件名。在修改文件名的过程中,是存在漏洞的。对文件进行代码审计,发现漏洞在修改文件名的文件(rename.php)中。
2024-03-31 23:25:59
312
1
原创 CTF之wtf.sh-150
通过上面的分析:如果用户名是一段可执行代码,而且写入的文件是 wtf 格式的,那么这个文件就能够执行我们想要的代码。知晓评论发送的数据包的结构,在普通评论的基础上,进行路径穿越,上传后门sh.wtf,wtf后面要加%09,表示制表符,否在会被当做目录去解析。如果我注册的用户名就是一段可执行的代码,而且写入的文件也是wtf格式的,那么这个文件就能执行我们想要的代码。登录一个账号,刷新一下抓包,将username改成admin,token改成admin对应的。这是评论功能的后台代码,这部分也是存在路径穿越的。
2024-03-30 18:28:49
602
原创 CTF之i-got-id-200
我们猜测/cgi-bin/file.pl的路径是在/var/www/cgi-bin/file.pl,所以构造playload:?/bin/bash%20-c%20ls${IFS}/|列出bin下的文件,找到了/flag。并且把上传的文件复制一下贴在前面,并且把文件名和内容删除,在到下面添加一个ARGV。而perl上传代码使用了param()函数,的话就可能有漏洞了。拿到题目看了看源码试了下文件上传,都没什么用。再构造playload:/flag。
2024-03-29 22:02:17
307
1
原创 CTF之BadProgrammer
查看package.json文件,发现引用express-fileupload版本为1.1.7-alpha.4,此版本存在CVE-2020-7699,原型链污染漏洞。那再看看有没有隐藏了什么文件/static../(利用nginx配置错误,可以列目录:)访问http://xxxxx/static/js/flag.txt得到flag。不出意外,意外来了发现一个路径/static/,以及使用的nginx服务器。再使用python脚本进行污染生成flag.txt文件。拿到题目看不到注入点,只有看看源码喽。
2024-03-28 23:18:52
327
原创 CTF之babyweb
SSRF的形成大多是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。例如,黑客操作服务端从指定URL地址获取网页文本内容,加载指定地址的图片等,利用的是服务端的请求伪造。一般情况下,SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内部系统)。攻击内外网的Web应用,主要是使用HTTP GET请求就可以实现的攻击(比如struts2、SQli等)。看了一下大佬的wp,发现这个网站是存在一个ssrf.php文件的。
2024-03-28 22:19:36
412
原创 CTF之easy_web
尝试了目录遍历以及漏洞扫描但是没有什么卵用,抓了一下包发现是python,所以考虑一下SSTI注入。通过符号列表进行爆破,发现 / 也被过滤了,但是 ︷ 会被解析成 { ,︸ 会被解析成 }打开网站就一个输入框,按理来说这种类型就是注入类型的漏洞了,至于什么注入还不知道。然后就可以进行SSTI注入了。但是好像{{}}被过滤了。下面是可以注入的ssti。
2024-03-26 23:32:28
259
1
原创 CTF之unfinish
然后对username进行注入,尝试了1' or 2=2# ,1' or 2=2--+,1' and 2=2# ,1' or 2=2 --+,1' or '2'='2# .。等等都没有用,最后发现一个1' and '0 注入成功了回显了0,说明还是存在注入的,所以要好好利用这个0。来获得表了,可是这个语法只会得到0,那么我们就要改进一下了。现在难点来了,语句后面加不了注释符,导致我们之前很多盲注语句使用不了,因为无法闭合后面。用工具扫了一下,发现是sql注入漏洞并且注入点是username。
2024-03-25 22:08:51
350
原创 CTF之ics-07
利用Linux的一个目录结构特性。我们递归的在1.php文件夹中再创建2.php,访问1.php/2.php/…进入的是1.php文件夹。上传成功可以在http://....../uploaded/backup路径下查看到shell.php已经上传。可以构造id=1x9来满足(x可以是任何字符可以一个或多个)这个状态说明第一个和第三个php代码已经满足。接下来便是用post方法上传木嘛文件了(我这里用的工具是hackbar插件)拿到题就一个地方有响应(项目管理)接着便是用蚁剑连接了密码是cmd。
2024-03-24 23:04:41
337
1
原创 CTF之wzsc_文件上传
这个代码是让服务器自己生成一个shell.php文件(自己生成的不会删除)并在shell.php文件中写入后面那一段宝贝(懂得都懂)。开发者在进行代码开发时常常倾向于认为代码会以线性的方式执行,但他们忽视了并行服务器会并发执行多个线程,这就会导致意想不到的结果。拿到题目一看就是文件上传漏洞,但是这个题目上传php文件以及其他我知道可以执行漏洞的文件都会被瞬间删除。接着便是利用大佬的python脚本对上传的m. php文件进行执行,以达到让服务器自己生成shell.php。brupsuit拦截发给攻击。
2024-03-22 21:22:18
696
1
原创 cft猫猫新
再用brupsuit拦截访问网页的/admin文件,将cookie设为得到的session,我的为session=eyJhZG1pbiI6MX0.Zfa2HQ.M11-OMpFWse8P5Rq3OAexDqGeYs便得到flag:catctf{Catch_the_c4t_HaHa}通过/proc/PID可以访问对应PID的进程内核数据,而/proc/self访问的是当前进程的内核数据。/proc/self/maps包含的内容是当前进程的内存映射关系,可通过读取该文件来得到内存数据映射的地址。
2024-03-17 18:26:23
940
1
原创 SSTI简介
找一个可利用的function来执行,比如popen的话,就可以这样利用:''.__class__.__bases__[0].__subclasses__()[138].__init__.__globals__['popen']('dir').read()lipsum flask的一个方法,可以用于得到__builtins__,而且lipsum.__globals__含有os模块:{{lipsum.__globals__['os'].popen('ls').read()}}
2024-03-10 18:58:06
892
1
原创 Centos7解压缩文件命令以及文件改名
如果你想在不同目录下改名,可以在新文件名中指定完整的路径。请注意,在运行解压缩命令之前,确保已经安装了相应的解压工具(如tar或unzip)。确保在运行命令时,将`filename`替换为你要解压缩的实际文件名,并确保在当前工作目录中包含该文件。- 对于zip格式:`sudo yum install unzip`- 对于tar格式:`sudo yum install tar`请确保在运行`mv`命令时小心,避免意外覆盖或删除重要文件。mv 老文件名 新文件名。
2024-02-06 18:47:57
1043
原创 关于ping的用法(kali篇)
要ping一个范围内的主机,你可以使用循环结构来实现。在Bash中,可以使用for循环来遍历指定范围内的数值,并将其与目标网段结合起来进行ping。请注意,在执行这样的操作时要谨慎,确保你有权限对目标主机进行ping操作,以及遵守当地法律法规。你可以根据需要修改IP地址和范围,以及文档名称和存储路径。这将发送4个ICMP回显请求包到该网段中的所有主机,并等待它们的响应。表示从0到30的数字范围。为你要ping的目标网段或主机的IP地址。你可以根据需要修改IP地址和范围。例如,如果你要ping一个网段为。
2024-02-06 17:49:23
1131
原创 无法加载文件 E:\venv\Scripts\activate.ps1,因为在此系统上禁止运行脚本。
在 Windows 上,默认情况下,PowerShell 的脚本执行策略为 Restricted(限制)。如果您仍然遇到问题,请参考错误信息中提供的链接,了解更多关于 PowerShell 执行策略的详细信息,并按照适合您的环境的指南进行调整。这样,您可以在不更改全局执行策略的情况下运行特定的脚本。请注意,此命令是在命令提示符(Command Prompt)中执行的,而不是在 PowerShell 中执行。是的,根据错误提示信息,您遇到了 PowerShell 脚本执行权限问题。
2023-09-23 15:53:36
1489
1
原创 eNSP路由器启动报错40
8、 执行命令后重启电脑,再次打开VirtualBox,再次启动AR_Base,启动成功后选中AR_Base单击右键,选择退出,再选择关闭电源,进入ensp放入路由器,尝试启动,若AR_Base启动无报错,则此时路由器能正常启动。,如果此项已经勾选了就将它取消。在大一的时候用到ensp但是路由器一启动就出错,在网上找了许多办法都没用,问了老师,老师让我们卸了从装但是还是没用,最后还是看了一篇大佬的文章,,点击启动AR_Base,如果无法正常启动,并且报错。都已经安装上,并且都可以正常打开。
2023-08-25 19:06:02
1157
2
原创 大学线性代数行列式求值
矩阵的行列式,determinate(简称det),是基于矩阵所包含的行列数据计算得到的一个标量。是为求解线性方程组而引入的。余子式再乘以-1的i+j次方(ij为行列式的行和列)求三阶及三阶以上的行列式就需要了解行列式的具体算法。1.0、了解计算行列式的必须项。1.1、行列式的具体算法。
2023-08-25 17:36:23
366
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人