CTF刷题记录
文章平均质量分 70
小白写的一些wp。
Sk1y
每一个不曾起舞的日子都是对生命的辜负
展开
-
[LineCTF2022]BB
八进制,RCE,利用环境变量进行注入原创 2022-06-18 19:57:45 · 1544 阅读 · 0 评论 -
2022DASCTF MAY 出题人挑战赛
2022DASCTF MAY 出题人挑战赛文章目录2022DASCTF MAY 出题人挑战赛Power魔法浏览器PowerCookie发包,回显中有个在cookie加一个admin=1得到flagDASCTF{ad2e3900-06dd-4b04-9cec-1a8878a3777f}魔法浏览器f12查看然后修改报文User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like原创 2022-05-26 23:22:46 · 703 阅读 · 1 评论 -
[2021祥云杯]cralwer_z
[2021祥云杯]cralwer_z文章目录[2021祥云杯]cralwer_z最近在学nodejs方面的东西,这个题目的侧重点不是原型链污染,而是代码审计,更偏向于代码逻辑上的漏洞首先题目给了源码,我扔进WebStorm来审计...原创 2022-05-16 23:27:56 · 529 阅读 · 0 评论 -
[2021祥云杯]Package Manager 2021
[2021祥云杯]Package Manager 2021文章目录[2021祥云杯]Package Manager 2021mongodb注入另一种解法:抛出异常下载附件cnpm install安装对应的依赖mongodb注入通过schema.ts可以知道用的是mongoDB数据库Mongoose 是一个让我们可以通过Node来操作MongoDB数据库的一个模块然后在index.ts中的/auth路由存在sql注入漏洞router.get('/auth', (_, res) =&g原创 2022-05-17 08:49:30 · 729 阅读 · 0 评论 -
[2021祥云杯]secrets_of_admin
[2021祥云杯]secrets_of_admin文章目录[2021祥云杯]secrets_of_admin代码分析/的POST方式/admin的GET方式/admin的POST方式/api/files的GET方式/api/files/:id的GET方式database.ts信息处理解题方法通过img进行ssrf任意文件读取local.href参考链接代码分析附件中有3个ts文件,我们主要分析index.ts,而databash.ts可以用来获取很多信息按路由来分析/的POST方式/的POST方原创 2022-05-16 23:27:04 · 308 阅读 · 0 评论 -
[TQLCTF 2022]simple_bypass
[TQLCTF 2022]simple_bypass文章目录[TQLCTF 2022]simple_bypasssimple_bypass任意文件读取源码分析不包含数字和字母的webshell参考文章simple_bypass首先注册,然后才能登录,一个很粗糙的界面注意好康的那里,查看元素,是一串base64编码base解码转图片,证明了这一点任意文件读取然后就可以进根据这个进行任意文件下载,读取/etc/passwdhttp://1.14.71.254:28358/get_pic.ph原创 2022-05-04 00:35:54 · 979 阅读 · 0 评论 -
[羊城杯 2020]A Piece Of Java
[羊城杯 2020]A Piece Of Java文章目录[羊城杯 2020]A Piece Of Java源码分析从后往前测试,逐步写exp构造DatabaseInfo类对象InfoInvocationHandler动态代理序列化exp恶意服务端参考链接源码分析将jar放进jd-gui中查看源码主要看两个路由,index和hello,在/hello路由中,会对我们传入的cookie进行反序列化,这个cookie是我们可控的而且这个cookie是由UserInfo类对象序列化得到的,跟进,我们原创 2022-04-11 23:56:33 · 1624 阅读 · 1 评论 -
[网鼎杯 2020 朱雀组]Think Java
[网鼎杯 2020 朱雀组]Think Java文章目录[网鼎杯 2020 朱雀组]Think Java获取源文件SwaggerJDBC sql注入关于#的使用查看数据库名字获取表名获取字段名获取字段值对序列化字符串分析java Deserialization Scanner插件使用ysoserialcurl将flag带出来反弹shell参考文章获取源文件下载jar包,扔进jd-gui查看源码主要是4个文件Test.java接收dbName参数,然后调用getTableData方法packa原创 2022-04-07 23:25:37 · 2207 阅读 · 2 评论 -
东华杯2021 ezgadget复现
东华杯2021 ezgadget复现文章目录东华杯2021 ezgadget复现环境搭建源码分析exp参考链接环境搭建题目给了ezgadget附件,需要自取链接:https://pan.baidu.com/s/1mZt_aorU_kZDo-GJH4wwxQ提取码:tmng运行(需要有java环境)java -jar ezgadget.jar源码分析我们把附件扔进jd-gui,文件不是很多mark一下:我在本地复现的时候,用idea创建的一个maven项目,没有用模板,然后将jd-gui原创 2022-04-01 00:31:08 · 1023 阅读 · 0 评论 -
HFCTF2022 Web ezphp
HFCTF2022文章目录HFCTF2022ezphpezphp这个题目本来以为考点是p佬的文章,但是不是这样的。p佬文章:我是如何利用环境变量注入执行任意命令原创 2022-03-28 23:38:15 · 5761 阅读 · 0 评论 -
红明谷2022 web Smarty Calculator
Smarty Calculator文章目录Smarty Calculator参考链接www.zip,源码泄露,分析index.php<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <title>Smarty calculator</title></head><body background="img/1.jpg"&g原创 2022-03-28 23:20:38 · 1683 阅读 · 0 评论 -
SCTF2021__rceme
rceme文章目录rceme先说下几个函数call_user_funcgetallheaders()可变参数绕过命令注入使用动态链接库so绕过disable_functions开启http服务(可选)利用php原生类进行文件读取参考链接题目<?phpif(isset($_POST['cmd'])){ $code = $_POST['cmd']; if(preg_match('/[A-Za-z0-9]|\'|"|`|\ |,|-|\+|=|\/|\\|<|>|\$|\原创 2022-03-28 10:29:51 · 1150 阅读 · 0 评论 -
红明谷2022 web Fan website
红明谷2022 web文章目录红明谷2022 webFan websiteFan website源码泄露www.zip,查看路由在composer.json中查看版本号,是2.11,存在已知的链子这个框架的路由一般在/module/Application/config/module.config.php中在本题目中,/module目录下有两个文件夹,一个是Application,一个是Album查看/module/src/Controller/AlbumController.php<原创 2022-03-26 00:03:28 · 1083 阅读 · 1 评论 -
[红明谷CTF 2021]JavaWeb
[红明谷CTF 2021]JavaWeb文章目录[红明谷CTF 2021]JavaWebjackson反序列化访问/login,但是又提示访问/json,访问,但是又回到了/login随便传点东西进去,在返回的cookie中有提示:rememberMe=deleteMe是个shiro,需要用到CVE-2020-11989(Apache Shiro 身份验证绕过漏洞)一点注意的地方springboot对浏览器的请求返回html的报错信息,而对其他客户端返回json格式报错信息,json格式的报错原创 2022-03-04 00:01:16 · 5145 阅读 · 0 评论 -
第六届上海市大学生网络安全大赛__千毒网盘
千毒网盘复现题目,变量销毁和变量重置,sql注入(本地环境有点问题)文章目录千毒网盘源码泄露变量销毁和变量重置sql注入参考链接源码泄露源码泄露,找到www.zip,下载,里面有两个文件,index.php和code.phpindex.php<html lang="en"><head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, in原创 2022-03-03 12:08:12 · 1035 阅读 · 1 评论 -
[SCTF2019]Flag Shop
[SCTF2019]Flag Shop知识点:Ruby/ERB模板注入文章目录[SCTF2019]Flag Shop源码Ruby/ERB模板注入参考链接打开容器,是个类似于买东西的界面有用户的uid,拥有的资金,以及flag的价格按照之前刷题的经验,会抓包,修改拥有的资金,或者打折,修改些数值什么的去进行jwt解码,发现这个信息确实和页面回显的是一样的源码查看robots.txt,发现/filebakUser-agent: *Disallow: /filebak访问,得到源码原创 2022-02-27 13:33:36 · 559 阅读 · 0 评论 -
[SUCTF 2019]EasyWeb
[SUCTF 2019]EasyWeb知识点:文件上传,htaccess绕过文章目录[SUCTF 2019]EasyWeb解题过程跑出可用的字符异或绕过源码中的几个函数.htaccess进行绕过参考链接解题过程打开题目就是源码审计<?phpfunction get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERV原创 2022-02-08 18:41:52 · 1546 阅读 · 0 评论 -
[CISCN2019 华东南赛区]Double Secret
[CISCN2019 华东南赛区]Double Secret知识点:SSTI,RC4加密文章目录[CISCN2019 华东南赛区]Double Secret解题过程参考链接解题过程打开环境,提示secret尝试secret路由,提示会加密GET方式传参url/secret?secret=1,回显传参url/secret?secret=11111,报错传入的参数secret会被RC4解密,而此时也存在python2.7的模板注入漏洞render_template_stringif(s原创 2022-02-08 18:40:32 · 1130 阅读 · 0 评论 -
[网鼎杯2018]Unfinish
[网鼎杯2018]Unfinish文章目录[网鼎杯2018]Unfinish二次注入二次注入disearch扫一下,有login.php,还有register.php,对应登录注册功能推测有二次注入,测试一下注册时12345678@qq.com0'+ascii(substr((select * from flag)from 1 for 1))+'0;123456回显fuzz的时候,发现, information被过滤了,看师傅们的wp,都是直接猜字段名为flag,然后读取flagi原创 2022-02-08 18:38:25 · 399 阅读 · 0 评论 -
[MRCTF2020]Ezaudit
[MRCTF2020]Ezaudit文章目录[MRCTF2020]Ezaudit伪随机数php_mt_rand()知识点:伪随机数mt_rand()源码泄露:www.zip下载后,是个index.php<?php header('Content-type:text/html; charset=utf-8');error_reporting(0);if(isset($_POST['login'])){ $username = $_POST['username']; $pa原创 2022-02-08 18:37:50 · 931 阅读 · 0 评论 -
[HarekazeCTF2019]encode_and_encode
[HarekazeCTF2019]encode_and_encode文章目录[HarekazeCTF2019]encode_and_encode关于php://input的测试解题过程本地测试参考链接关于php://input的测试<?php$a = file_get_contents("php://input");echo $a;$b = json_decode($a);print_r($b); 解题过程打开容器,点击第三个超链接,得到源码query.php源码<原创 2022-01-27 22:54:16 · 812 阅读 · 0 评论 -
[WUSTCTF2020]CV Maker
[WUSTCTF2020]CV Maker知识点:文件上传前端不错,注册然后登录登录之后有个修改头像的功能测试上传一句话木马1.php<?php eval($_POST[1]);?>但是提示会检测上传的文件的头部exif_imagetype — 判断一个图像的类型,exif_imagetype() 读取一个图像的第一个字节并检查其签名。所以利用GIF89a来进行绕过GIF89a<?phpeval($_POST[1]);?>成功上传文件,然后右原创 2022-01-26 22:55:03 · 590 阅读 · 0 评论 -
[HFCTF 2021 Final]easyflask
[HFCTF 2021 Final]easyflask知识点:pickle反序列化,session伪造文章目录[HFCTF 2021 Final]easyflaskpickle学习关于pvm和jvm的解释python反序列化实例分析获取源码解题步骤读取secret_key反序列化脚本伪造session参考链接pickle学习import pickledata = ['aa','bb','cc']#dumps 将数据通过特殊的形式转换为只有python语言认识的字符串p = pickle.du原创 2022-01-24 21:54:47 · 4689 阅读 · 0 评论 -
[FireshellCTF2020]URL TO PDF
[FireshellCTF2020]URL TO PDF这个题目的前端和[FireshellCTF2020]ScreenShooter好相似,填写一个url,会返回一个pdf,上个题目是返回的图片这东西应该也是和爬虫相关的,让靶机去访问vps的7777端口,监听查看请求发现是WeasyPrintWeasyPrintWeasyPrint是一个用于HTML和CSS的可视化渲染引擎,可以将HTML文档导出为打印标准的PDF文件引用文章:我的费用报告导致 Lyft 上的服务器端请求伪造 (SSRF)原创 2022-01-23 23:04:03 · 1272 阅读 · 0 评论 -
[FireshellCTF2020]ScreenShooter
知识点:CVE-2019-17221,任意文件读取原创 2022-01-22 23:23:19 · 4140 阅读 · 0 评论 -
[NCTF2019]SQLi
[NCTF2019]SQLi文章目录[NCTF2019]SQLi一点记录参考链接robots.txt中有提示:hint.txt查看hint.txt$black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in|<|>|-|\.|\(\)|#|and|if|database|users|where|table|concat|ins原创 2022-01-22 21:28:29 · 966 阅读 · 0 评论 -
[RCTF 2019]Nextphp
php7.4的FFI扩展的安全问题以及利用c标准库的加载原创 2022-01-22 10:26:00 · 1464 阅读 · 1 评论 -
[watevrCTF-2019]Cookie Store
[watevrCTF-2019]Cookie Store知识点:修改cookie抓包,查看session,进行base64解码,发现里面包含着money的值,将money的值改为100,将id的值改为2,去购买Flag cookie,即可得到flag得flag原创 2022-01-15 13:02:48 · 300 阅读 · 0 评论 -
[SWPUCTF 2018]SimplePHP
[SWPUCTF 2018]SimplePHP知识点:phar反序列化文章目录[SWPUCTF 2018]SimplePHP文件读取文件上传分析文件读取分析phar反序列化构造pop链一些函数测试参考链接文件读取注意观察url,可以进行文件读取读取的源码有base.php,class.php,file.php,function.php,index.php,upload_file.php贴几个重要的文件分析一下index.php调用了base.php,而base.php的对应了两个文件以及跳转原创 2022-01-15 08:40:22 · 566 阅读 · 1 评论 -
[网鼎杯 2018]Comment
文章目录[CSCCTF 2019 Qual]FlaskLight解题过程payload1payload2payload3参考文章[RCTF2015]EasySQL解题过程payload参考文章[HITCON 2017]SSRFme解题过程payload参考文章[网鼎杯 2018]Comment解题过程payload参考文章[CSCCTF 2019 Qual]FlaskLight解题过程f12中提示,GET方式传参search可以判断ssti查看所有子类?search={{''.__class_原创 2022-01-14 12:39:01 · 542 阅读 · 1 评论 -
[HITCON 2017]SSRFme
[HITCON 2017]SSRFme文章目录[HITCON 2017]SSRFmepathinfo()函数payload参考文章打开题目,就是源码<?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_hea原创 2022-01-14 12:37:21 · 1010 阅读 · 1 评论 -
[RCTF2015]EasySQL
[RCTF2015]EasySQL知识点:二次注入,报错注入文章目录[RCTF2015]EasySQL二次注入报错注入二次注入题目环境有注册,登录,修改密码功能,修改密码处存在二次注入漏洞,当注册的名字为admin"时,然后进行修改密码,会导致报错。推测更新密码的语句是password='xxxx' where username="xxxx" and pwd='xxxx'知道这里可以报错之后,利用报错注入报错注入得表名admin"||(updatexml(1,concat(0x7e,原创 2022-01-14 12:24:04 · 2822 阅读 · 0 评论 -
[CSCCTF 2019 Qual]FlaskLight
[CSCCTF 2019 Qual]FlaskLight文章目录[CSCCTF 2019 Qual]FlaskLight模板注入payload1payload2payload3参考文章模板注入搜索,返回查询内容f12中提示,GET方式传参search可以判断ssti查看所有子类?search={{''.__class__.__mro__[2].__subclasses__()}}寻找可用子类,这里使用下python脚本来寻找可用类的序号import requestsimport re原创 2022-01-13 23:47:40 · 290 阅读 · 0 评论 -
[CISCN2019 华北赛区 Day1 Web1]Dropbox
知识点:phar反序列化原创 2022-01-09 00:17:22 · 1547 阅读 · 2 评论 -
[红明谷CTF 2021]EasyTP
[红明谷CTF 2021]EasyTP文章目录[红明谷CTF 2021]EasyTP解题过程解法1:报错注入解法2:开堆叠写shell解法3:rogue-mysql-server参考链接解题过程打开容器源码泄露/www.zip下载下来,发现是thinkphp3.2.3的,找链子:ThinkPHP v3.2.* (SQL注入&文件读取)反序列化POP链 (f5.pm)注意在源码中,控制器中存在反序列化,以这个为入手点在BUUCTF的环境中,database=test,password原创 2022-01-01 00:48:57 · 2548 阅读 · 0 评论 -
[红明谷CTF 2021]write_shell
[红明谷CTF 2021]write_shell文章目录[红明谷CTF 2021]write_shell代码审计最后的payload参考链接代码审计题目给出了源码<?phperror_reporting(0);highlight_file(__FILE__);//检查是否还有违规符号function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(p原创 2021-12-30 20:47:22 · 496 阅读 · 0 评论 -
[SCTF 2018]ZhuanXV
赛题:[SCTF 2018]ZhuanXV文章目录赛题:[SCTF 2018]ZhuanXV读取文件sql注入漏洞读取文件使用dirsearch工具进行扫描发现/list,访问是个登录界面,查看源码发现背景图片的路径查看web.xmlhttp://111.200.241.244:63455/loadimage?fileName=../../WEB-INF/web.xml发现使用了strut2框架,struts.xml是struts2的核心配置文件,在开发过程中利用率最高。该文件主原创 2021-12-19 10:51:03 · 873 阅读 · 0 评论 -
[网鼎杯 2020 青龙组]filejava
[网鼎杯 2020 青龙组]filejava文章目录[网鼎杯 2020 青龙组]filejava解题过程参考链接知识点:web.xml文件泄露 , blind xxe解题过程打开容器,需要我们进行文件上传先上传一个文件,下载的时候抓包得到下载路径,可以尝试读取web.xml/DownloadServlet?filename=../../../web.xml或者/DownloadServlet?filename=../../../../../../../../../usr/local/原创 2021-12-16 06:30:00 · 1090 阅读 · 0 评论 -
[NCTF2019]True XML cookbook
[NCTF2019]True XML cookbook知识点:XXE解题过程根据之前做的[NCTF2019]Fake XML cookbook,利用上次的payload<?xml version="1.0" encoding="utf-8"?><!DOCTYPE note [<!ENTITY admin SYSTEM "file:///etc/passwd">]><user><username>&admin;</us原创 2021-12-12 06:30:00 · 948 阅读 · 0 评论 -
[蓝帽杯 2021]One Pointer PHP
[蓝帽杯 2021]One Pointer PHP文章目录[蓝帽杯 2021]One Pointer PHPphp数组溢出绕过open_basedir目录限制(glob)ftp的被动模式起一个ftp服务加载恶意的so文件生成payloadsuid提权参考文章原创 2021-12-06 00:41:50 · 735 阅读 · 0 评论