- 博客(96)
- 收藏
- 关注
RSS订阅原创 攻防世界刷题
打开环境,看到三个页面,挨个访问flag.txt提示了flag in /fllllllllllllag题目提示了Tornado 框架,tornado render是一个python的渲染函数;也就是一种模板,通过调用的参数不同,生成不同的网页,如果用户对render内容可控,不仅可以注入代码,而且还可以通过{{}}进行传递变量和执行简单的表达式hints.txt是filename的MD5值加上cookie再进行MD5加密,我们去哪儿找cookie呢再仔细观察url。
2024-06-14 17:32:01
780
原创 攻防世界--lottery、ez_curl、ics-05
array()函数是用来创建一个PHP数组json_decode :对 JSON 格式的字符串进行解码,转换为 PHP 变量。
2024-06-12 21:10:39
894
原创 CTFSHOW--SSTI字符串拼接绕过
打开环境查看日志文件得到日志文件在UA头里写下一句话木马然后再发送,因为我传了很多次的一句话木马,所以添加了很多条日志信息进行POST传参。
2024-06-05 19:48:10
847
原创 PHP反序列化--字符串逃逸(上--增多)
" 一共有30个字符,而Firebasky替换为 Firebaskyup是多两个字符,那么我们就要构造15个Firebasky,来填充这30个字符,从而使";}"变成字符串内容,覆盖了之前的s:8:"password";改变序列化字符串的长度,导致反序列化漏洞,通过替换序列化后字符串中某一个内容,导致某一串字符串变成了字符内容(个人理解,多多包含!我们只定义了一个成员属性v1,但是在$b里我们又增加了一个成员属性v2,这是不允许的,所以在输出的时候出现了报错,当然如果我们把。
2024-06-03 23:33:17
920
原创 CTFSHOW--萌新赛
打开环境以为是SQL注入,尝试输入SQL语句/?name=asd',发现被转义了题目是给她,和git很相似,使用dirsearch扫一扫发现git泄露,使用GITHACK工具扫到一个hit.php。
2024-05-30 22:15:04
899
原创 青少年CTFweb
在一次惊心动魄的太空任务中,你发现了一个隐藏在偏远太空站内部的高度机密的加密密钥。这个密钥可能拥有解锁重要情报的能力,但是要获取它并不是一件简单的事情。这个密钥被放置在一台极其严密防护的计算机系统中。这台计算机不仅与外界网络完全隔离,而且还设置了多重安全机制,包括身份验证,层层难关等。你作为一名出色的太空探险家,要想成功获取密钥,你必须设法绕过这些安全防护,利用你的专业知识和创造力,想办法通过一些巧妙的方式访问这台计算机,并成功获取隐藏的密钥。准备好你的大脑,开始你的穿梭之旅吧!
2024-05-29 22:13:18
636
原创 CTFSHOW和青少年CTFweb刷题
打开环境后得到这样一句话查看一下源代码,提示我们进行传参,进行命令执行进行传参,确认可以进行命令执行那我们接下来就是用命令执行查找flag发现并没有什么用,题目给了提示需要用到和。
2024-05-28 21:42:50
816
原创 春秋云镜(3)
struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(u0023)或8进制(43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,但是安全配置被绕过再次导致了漏洞,攻击者可以利用OGNL表达式将这2个选项打开S2-005是由于官方在修补S2-003不全面导致绕过补丁造成的。
2024-05-25 10:30:37
684
原创 春秋云境(2)
Pluck-CMS-Pluck-4.7.16 后台RCE打开环境源码里发现了login.php弱口令登录admin/admin之后进入这个界面在language settings里更改一下语言在options里choose theme,然后install theme(安装主题)找到上传cms主题的界面我们去GITHUB里下载一个主题。
2024-05-23 19:55:04
685
原创 春秋云境(1)
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
2024-05-22 21:24:30
863
原创 [羊城杯 2020]easyphp--.htaccess使用技巧
都不行,发现靶机不会解析php文件,只会返回其内容,去搜一搜大佬们的WP,这儿因为上传两次文件,第二次上传之后那第一次上传的文件就会被删除,所以也用不了.htaccess配置文件来使用jpg文件执行php代码,但是看了师傅们的WP,.htaccess文件还有一个特点:.htaccess文件也可以在不存在php文件下进行解析执行php代码,通过利用的配置文件中的php_value auto_append_file参数来实现。再试试创建一个php文件。打开环境,进行代码审计。
2024-05-17 11:51:15
568
原创 NSS刷题--无参数RCE,自增RCE的学习
打开界面,什么都没有,看一下源代码,直接访问hintRCE,进行代码审计,检查 $rce 的长度是否不超过 120 个字符。检查 $rce 是否是一个字符串类型使用正则表达式检查 $rce 中是否包含某些特殊字符。如果 $rce 满足上述条件,则使用 eval 函数执行 $rce 中的代码。考无参数RCE,并且过滤了^和~,不能使用取反与异或,那就只能使用自增了使用祖传playload看一看它显示太长了,那就换种形式,我们构造参数,再上传参数,以达到减少长度的目的。
2024-05-14 21:34:19
711
原创 NSSCTFcrypto--RSA算法
翻译一下呗,试一试base,因此再用base解码一下,得到NBQXMZK7MFPW42LDMVPXI4TZ,再base32解码得到have_a_nice_try。我们发现符合BASE16的特点,文本里只有0-9的数字和ABCDEF6个英文字符,因为太大了,在线解码就解不了,先用其中一段base16解码。打开后有等号,但是在中间,题目提示了23,因此,先是栅栏密码,再是base64,最后是凯撒,得到flag。一般来说进行两次RSA解密就行了,可是n1、n2太大了,无法硬分解,常规的分解素数网站没法用。
2024-05-10 22:37:38
1030
原创 NSS刷题--python脚本编写,伪随机数,mt_rand函数
代码审计,大致意思就是,就是mt_srand(seed)分发种子,相当于进行产生随机数的初始化,然后通过mt_rand函数获得种子,但是这个随机数并不是真正的随机,他是有可预测性的,如果我们能获得种子,就一定程度上可以获得产生的随机数,根据这个随机数进行验证的部分就不安全了,但是这个题里并没看到mt_srand()函数, 自 PHP 4.2.0 起,不再需要用 srand() 或 mt_srand() 给随机数发生器播种 ,因为现在是由系统自动完成的。记住,我们的代码是要加上cookie的,要不然。
2024-05-09 10:15:59
664
原创 2022长安杯复现--检材4
检材4.根据前期侦查分析,通过技术手段找到了幕后老板,并对其使用的安卓模拟器“检材4”进行了固定。分析所有掌握的检材请根据检材4回答下列问题。
2024-05-04 16:10:35
480
原创 无字母RCE--自增绕过
自增(Increment)通常指的是将某个值增加一个固定的增量。在编程中,自增通常用于循环计数、迭代或者更新变量的值等情况。在许多编程语言中,自增操作可以通过使用 ++ 符号来完成。例如,在C语言中,++ 操作符可以用于将变量的值增加1。
2024-04-27 02:19:55
397
原创 XXE漏洞--XML外部注入实体攻击初步学习--[NCTF 2019]Fake XML cookbook
XXE(XML External Entity)(XML外部实体注入)是一种针对应用程序处理XML数据的方式的攻击。在这种攻击中,攻击者利用应用程序对XML输入的处理不当,引入或“注入”恶意内容。这可能导致未授权的数据访问、服务拒绝攻击甚至执行远程代码。
2024-04-25 21:33:58
819
原创 php反序列化学习(中)--pop链的构造
打开环境,进行代码审计这一题我们需要构造pop链,既然要构造pop链,我们就要找到链头和链尾(从链尾在到链头,一步一步的看,这样就思路清晰了)我们先去找链尾,我们需要通过这个file_get_contents()函数来获得flag。
2024-04-24 17:20:18
854
原创 2022长安杯取证复现--检材1,检材2
某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用”USTD币“购买所谓的"HT币”,受害人充值后不但 “HT币”无法提现、交易,而且手机还被恶意软件锁定勒索。警方根据受害人提供的虚拟币交易网站调取了对应的服务器镜像并对案件展开侦查。
2024-04-19 22:57:10
1003
1
原创 [LitCTF 2023]Flag点击就送!--session伪造
由于http协议是一个无状态的协议,也就是说同一个用户第一次请求和第二次请求是完全没有关系的,但是现在的网站基本上有登录使用的功能,这就要求必须实现有状态,而session机制实现的就是这个功能。用户第一次请求后,将产生的状态信息保存在session中,这时可以把session当做一个容器,它保存了正在使用的所有用户的状态信息;这段状态信息分配了一个唯一的标识符用来标识用户的身份,将其保存在响应对象的cookie中;当第二次请求时,解析cookie中的标识符,拿到标识符后去session找到对应的用户的信
2024-04-18 22:00:44
876
原创 PHP反序列化学习(上)
在PHP中,序列化和反序列化是用于将数据结构转换为字符串(序列化)和将字符串转换回数据结构(反序列化)的常见操作,通常用于数据持久化、数据传输等场景。
2024-04-16 21:38:56
671
原创 SSTI学习(1)--python中的SSTI--jinja
引发SSTI漏洞的原因是因为render_template渲染函数的问题。渲染函数在渲染的时候,往往对用户输入的变量不做渲染。也就是说例如:{{}}在Jinja2中作为变量包裹标识符,Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换。比如{{1+1}}会被解析成2。如此一来就可以实现如同sql注入一样的注入漏洞。
2024-04-12 22:42:48
647
原创 ARP欺骗--利用arp欺骗实现断网攻击
地址解析协议,即ARP(Address Resolution Protocol),是根据获取的一个。发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;
2024-04-11 21:31:45
1694
4
原创 永恒之蓝MS17-010漏洞复现
永恒之蓝是在window的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码,通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。这儿MSF会自动帮我们判断目标操作系统的版本和语言(利用目标系统的指纹特征),但有些其他的漏洞模块对操作系统的语言和版本要求的很严,比如MS08_067,这样就要我们指定目标系统的版本。
2024-04-09 21:29:06
745
原创 CTFHUB--信息泄露(下)
像集中式它们都有一个主版本号,所有的版本迭代都以这个版本号为主,而分布式因为每个客户端都是服务器,git没有固定的版本号,但是有一个由哈希算法算出的id,用来回滚用的,同时也有一个master仓库,这个仓库是一切分支仓库的主仓库,我们可以推送提交到master并合并到主仓库上,主仓库的版本号会迭代一次,我们客户端上的git版本号无论迭代多少次,都跟master无关,只有合并时,master才会迭代一次。.git stash用于想要保存当前的修改,但是想回到之前最后一次提交的干净的工作仓库时进行的操作。
2024-04-05 19:47:31
662
原创 布尔盲注--sqli-labs靶场第五关
布尔盲注是一种 SQL 注入攻击技术,攻击者利用真假值来推断数据库中的信息。它不需要注入恶意 SQL 代码,而是通过观察服务器响应的差异来获取信息。
2024-04-04 17:55:34
1069
原创 CTFHUB--SSRF(下)--SSRF绕过
对于用户请求的URL参数,首先服务器端会对其进行DNS解析,然后对于DNS服务器返回的IP地址进行判断,如果在黑名单中,就pass过滤。DNS(Domain Name Service)计算机域名服务器,在Internet上域名与IP地址之间是一一对应的,一个域名对应一个IP,例如:www.baidu.com就是域名,127.0.0.1就是IP,域名方便我们去记忆,但是在机器之间,它们只能互相认识IP地址,它们之间的转换工作称为域名解析,而域名解析需要由专门的域名解析服务器来完成,这就是DNS域名服务器。
2024-04-01 11:39:05
726
原创 CTFHUB--SSRF(中)--FastCGI协议\Redis协议 以及gopherus工具攻击
本来我们可以执行任意文件,但是在FPM某个版本之后,增加了security.limit_extensions选项,限定了只有某些后缀的文件允许被fpm执行,默认是.php,所以现在要使用这个漏洞,我们得先知道服务器上的一个php文件,假设我们爆破不出来目标环境的web目录,我们可以找找默认源安装后可能存在的php文件,比如/usr/local/lib/php/PEAR.php。FastCGI是一个常驻型的CGI,它在服务器启动的时候先启动一个应用程序池,然后由这个应用程序池来管理和调度应用程序的执行。
2024-03-29 18:33:49
2257
1
原创 CTFHUB--SRRF(上)--gopher协议
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
2024-03-28 21:20:30
692
原创 CTFHUB--RCE漏洞初步学习
关于RCE,在学习过程中其实已经接触到了很多,但在学习的时候都是这儿那儿一点一点的拼接起来的,所以看了很多大佬的博客,总结了一下,打算写一篇博客,好好的整理一下自己学习RCE所学到的东西。
2024-03-27 16:11:41
688
原创 开学考核密码杂项复现
ai_ti_Mi = [a * (M // m) * gmpy2.invert(M // m, m) for (m, a) in zip(mi, ai)]#m对应的加密结果a储存在ai_ti_mi列表中,x模m的乘法逆元。return reduce(lambda x, y: x + y, ai_ti_Mi) % M#将所有a相加,并对m取模得到crt结果。def CRT(mi, ai): #中国剩余定理,用于合并c中的加密结果,mi模数列表,ai加密列表。发现一个密码,是另一个压缩包的,解开尝试一下。
2024-03-24 11:41:53
676
原创 [NSSRound#1 Basic]basic_check题解以及对nikto的初步了解还有对PUT请求的复习
[NSSRound#1 Basic]basic_check题解以及对nikto的初步了解还有对PUT请求的复习
2024-03-22 18:37:14
588
原创 [HNCTF 2022 WEEK2]easy_include 日志包含漏洞
日志包含漏洞属于是本地文件包含,同样服务器没有很好的过滤,或者是服务器配置不当导致用户进入了内网,本来常规用户是访问不了这些文件的,但由于发起访问请求的人是服务器本身,也就导致用户任意文件读取。例如:某php文件存在本地文件包含漏洞,但无法上传文件,利用包含漏洞包含Apache(看服务器是Apache还是nginx)日志文件也可以获取WebShell。
2024-03-21 21:36:34
921
1
原创 [HDCTF 2023]SearchMaster smarty模板注入初步了解
Smarty 是 PHP 的模板引擎,有助于将表示 (HTML/CSS) 与应用程序逻辑分离。大佬们都说这个模板现在很流行,因为它让前端制作者和程序员专注于自己的工作,不会因为前端修改或者程序逻辑修改了而影响另一边的代码。
2024-03-19 20:11:19
680
原创 [SWPUCTF 2021 新生赛]easyupload2.0
显示php不行,上传jpg文件抓包,然后修改后缀为1.phtml,放包,上传成功,蚁剑连接得到flag
2024-03-04 10:35:32
459
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人