- 博客(42)
- 收藏
- 关注
RSS订阅原创 XCTF 4th-QCTF-2018 Confusion1
知识点SSTI模板注入猜图(狗头)WP进入环境可以发现啥都没有,重要的是这个图:想办法联想到这个:知道和python相关。。。(狗头)首先访问login.php和register.php,发现都是404。经过一系列尝试,发现这个网站只有index.php,但是404的页面响应头里有这个:<!--Flag @ /opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt-->因此知道了flag文件的位置,但是不知道怎么去读取这个文件。其
2020-10-31 20:01:49
702
原创 网鼎杯 2018 comment
知识点爆破弱密码git泄露二次注入.bash_historyWP首先进入环境,是一个留言板的东西,而且按照题目描述的SQL,肯定又是SQL注入了。不过还不能直接留言,需要登录。登录就是爆破密码的后三位,爆出来是zhangwei666,然后登录。如果提前用dirsearch扫了的话,会发现存在git泄露。利用工具弄下来,得到2个文件,那个关键的文件内容如下:<?phpinclude "mysql.php";session_start();if($_SESSION['login'
2020-10-30 18:00:45
717
原创 XTCTF Web_php_wrong_nginx_config
知识点目录扫描cookie文件包含nginx配置有问题导致存在目录遍历。PHP混淆加密及其逆向利用代码审计python脚本WP进入环境先扫目录,这题扫目录挺重要的。可以扫到/admin,login.php,robots.txt,/admin/admin.php之类的页面。最重要的就是robots.txt和/admin/admin.php这两个页面。题目会提示你要登录,其中cookie里有一个isLogin,改成1就可以了。robots.txt里面有提示,分别是Hack.php和h
2020-10-30 14:14:14
685
1
原创 网鼎杯 2018 unfinish
前言又是一道SQL注入的题目,只能说自己还是太菜。。会的知识太少,WP进入环境,用dirsearch扫一下,发现有index.php,login.php,register.php。经过很多的尝试,最终发现这是一个二次注入的题目,注入点是在register.php传入的username中。接下来就是如何注入了。我一开始考虑报错注入,但是发现不成功。经过尝试,发现过滤了逗号。这就意味了不能进行报错注入,而且不能通过闭合INSERT后面的(A,B,C)来实现注入。这里我尝试进行union注入,但是过滤
2020-10-29 11:03:22
2724
1
原创 网鼎杯2018 fakebook
知识点PHP反序列化备份文件下载SSRFSQL注入前言我就是fw…又没解出来,主要的问题还是在自己身上,当时sql注入读了username,以为就是我输入的,就没继续爆破了,没想到data居然是序列化的,还有就是SQL注入学的还不好,导致自己没能解出来。WP首先进入环境,有join和login。先用dirsearch扫一下目录,发现存在robots.txt,访问发现存在user.php.bak备份文件。下载下来:<?phpclass UserInfo{ publi
2020-10-28 20:53:58
348
原创 XCTF-Web高手进阶区 ics-07
WP进入环境,按照提示进入项目管理页面,点击view-source得到源码:<?phpsession_start();if (!isset($_GET[page])) { show_source(__FILE__); die();}if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php');}else { header('Location: ?p
2020-10-28 18:45:08
270
原创 “百度杯”CTF比赛 十月场 EXEC
WP首先进入环境,有两种方式得到源码。一种是直接dirsearch扫,扫出存在.index.php.swp,第二种是f12看源码,发现:暗示可能存在vim源码泄露,也能猜到.index.php.swp。下载下面,vim -r index.php.swp,就可以复原文件,得到index.php的源码:<?php/*flag in flag233.php*/function check($number){ $one = ord('1'); $nine = ord('9'
2020-10-27 17:34:38
638
3
原创 “百度杯”CTF比赛 十一月场 Look
前言自己还是太菜了。。这题各种考点自己一个都没做出来,真的感觉都是自己的知识盲区,还要要静下心来慢慢学习。WP第一个点其实可以直接绕过的,但是先不管这个。进入环境后发现页面是空白,正确的解法是Burp抓包:发现相应里有一个X-HT: verify这里还是自己不够敏感啊!题目已经提示有SQL注入了,自己一直苦于不知道注入的参数名。HT其实就是hint,不过自己没有管这个是因为响应头里面X-xxxx的自己基本都不知道是什么意思,以为都是本来就有的,就没去管,导致遗漏了这个重要的信息。因此,自己以
2020-10-27 15:50:02
834
1
原创 “百度杯”CTF比赛 十月场 登录
前言一直觉得SQL注入是自己的弱项,主要的问题还是自己没有真正的做过一些和要和数据库连接的后端的项目,仅仅写过一个留言板。自己对于SQL注入的理解还是太浅。还是需要找时间去写点代码,去加深理解。这题的SQL注入也确实是让自己涨姿势了。自己可以说学了MySQL就没有用过LIKE,一直以为它在SQL注入里没用,没想到居然可以这样。WP进入环境,是一个登录页面。尝试进行SQL注入,发现username为admin' or 1=1#的时候显示密码错误,username为admin' or 1=2#的时候显示
2020-10-27 00:09:40
500
原创 “百度杯”2017年春秋欢乐赛 攻击
WP这道题主要还是自己的思维太局限了,还有就是python学的太差。。。首先进入环境,是源码直接出:<?phpheader("content-type:text/html;charset=utf-8");show_source(__FILE__);echo '<pre>';include('u/ip.php');include('flag.php');if (in_array($_SERVER['REMOTE_ADDR'],$ip)){ die("您的ip已进入系
2020-10-26 16:48:53
354
原创 “百度杯”CTF比赛 十二月场 Blog
考察的知识点kindeditor编辑器的一个遍历漏洞SQL的INSERT注入文件包含漏洞其中kindeditor编辑器的一个遍历漏洞其实可有可无,因为你能得到的无非是目录下的所有文件,这题的所有文件都可以用dirsearch扫出来,因此这个点没什么用。而且我这里网不太好,那个编辑器打开是这样的:网太差,加载不全,也没法利用。。。因此第一个知识点这里就没有去利用了。WP这题真正的注入点是在post.php那里,我们需要注册个账号然后登录,进行SQL注入,获得admin的密码。不过因为自
2020-10-25 23:14:48
352
原创 “百度杯”CTF比赛 十月场 Vld
知识点Vulcan Logic Dumper代码审计SQL注入WP首先进入环境,查看源码发现index.php.txt,进入后发现是我看不懂的东西。。可以上网查Vulcan Logic Dumper,还弄懂怎么从这些东西来还原php代码,还原的代码如下: 1 <?php 2 3 echo ‘do you know Vulcan Logic Dumper?<br>‘; 4 $a=$_GET[‘flag1‘]; 5 $b=$_GET[‘flag
2020-10-25 17:43:34
300
1
原创 “百度杯”CTF比赛 十二月场 notebook
前言这道题总的来说不难,自己其实对于这题考察所有知识点都了解,甚至关键的点自己可以说算是注意到了,但是唯一的问题是自己没能听出题人的。只能说,还是自己的问题。。WP看到题目里的提示,要文件包含phpinfo,虽然还没进环境,但是至少知道了这题存在文件包含。进入环境,发现url似乎存在文件包含。尝试利用伪协议进行包含,失败了。经过一些尝试,发现还是不行。这里考虑去扫一下目录,发现robots.txt。访问,得到php1nFo.php。接下来我就出了问题了。正确的姿势应该是?module=&
2020-10-25 15:42:34
504
原创 [CISCN2019 华北赛区 Day2 Web1]Hack World 1
前言这道题考察的就是SQL注入,其中过滤了一些关键词,自己没做出来的主要原因是对于注入类型的判断还有注入的姿势仍然不够熟练,并不是题目很难。WP进入环境后首先我们发现这是一个Post传id的注入,我们要进行注入的表和列都已经给我们了。经过尝试,发现输入1和2的时候存在有意义内容的回显。再经过一系列的尝试,发现过滤了很多东西,空格也被过滤了。这时候我在判断注入类型那里出现了问题。我以为是字符型注入。其实我们输入注入id=2/2,会发现回显的是id=1的内容,因此判断为数字型注入。接下来就是如何注入
2020-10-24 18:39:32
1123
原创 [ZJCTF 2019]NiZhuanSiWei 1
知识点文件包含与各种协议反序列化WP首先进入环境,得到源码:$text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r').
2020-10-23 19:41:26
1340
2
原创 [BJDCTF2020]Easy MD5 1
知识点关于md5的一些基本绕过方法:数组绕过0e绕过SQL注入中的ffifdyop万能密码绕过,其中md5函数是md5($string,true)md5强碰撞绕过WP首先进入环境,经过一些尝试后用bp抓包,在响应头里得到了Hint:Hint: select * from 'admin' where password=md5($pass,true)比较明显的用ffifdyop来绕过。具体可以参考:password=’".md5($pass,true)."’接下来又是一个绕过点,经过
2020-10-23 10:29:31
352
原创 [极客大挑战 2019]BuyFlag 1
知识点is_numberic()函数漏洞:is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后。strcmp()函数漏洞:如果传入的值,不是字符串的话,会报错,同时使得两个字符串直接相等,返回为零。 一般传入数组或者对象。PHP弱类型比较:404==‘404xxxxx’WP这题主要内容在pay.php。首先You must be a student from CUIT。通过bp抓包,将cookie改成user=1,完成这个点。
2020-10-23 00:14:26
2255
原创 [SUCTF 2019] CheckIn 1
知识点上传.user.ini文件,条件如下:(1)服务器脚本语言为PHP(2)对应目录下面有可执行的php文件(3)服务器使用CGI/FastCGI模式现在大部分网站都是用的fastcgi,这个东西我理解的是可以提供web服务器的一种api,而apache/nginx/iis这些服务器都会依靠这种api来运行而在服务器以fastcgi启动运行的时候,.user.ini也是php的一种配置文件,众所周知php.ini是php的配置文件,它可以做到显示报错,导入扩展,文件解析,web站点路径等等设置
2020-10-22 23:22:14
1168
原创 [极客大挑战 2019]Upload 1
前言这真的是一道挺简单的题目,就是进行内容和后缀的绕过,但是我这里出了一点问题。我是用了一个png图片,直接往后面放一句话,之前的做一道文件上传的时候用的挺好的,这题发现不行。不知道是题目过滤了png图片头还是那张图片的问题。因此去查了查WP,看了一下别的师傅的图片马的头部都是什么样的,然后就过了。WP这题的绕过点有三个,一个就是文件内容不能有<?,还有就是文件后缀的绕过,还有图片头。因此图片内容如下:GIF89a? <script language="php">eval($_
2020-10-22 16:42:16
2767
原创 [HCTF 2018]admin 1
前言这题的三种方法都是姿势盲区。。。。第三种方法只给个介绍。。因为好像复现的话不能成功,但是学习学习这种方法的思想。姿势总结flask session伪造unicode欺骗条件竞争方法一:flask session伪造我做题目的时候一直以为这题应该是SQL注入。。。在登录那里被卡了好久。。最后发现屁用都没有。。首先!我们先注册一个再登录,在change password那里查看源码,可以看到有提示:但是我并没有看到。。。这题也深深的教会了我,虽然页面可能有点多,源码还是要好好看看。。
2020-10-20 20:56:42
7063
7
原创 [极客大挑战 2019]PHP 1
前言审thinkphp审吐了。。。根本看不懂代码。。。各种函数跳。。。感觉自己的头发都掉了很多。。。来打打BUUCTF的题目来放松一下。。考察的知识点备份文件反序列化代码审计和猫玩WP首先进去环境,看到因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯不愧是我!!!很明显提示存在备份文件。试了几个常见的swp、~、bak等,发现还是没出,以为是git泄露之类的。但是因为BUUCTF限制了访问,用dirsearc扫的话会429,自己控制参数来放慢扫描速率的话扫的太慢了。。。
2020-10-20 16:59:17
718
原创 [RoarCTF 2019]Easy Calc 1
前言这题的绕过方式都是我的知识盲区,真的是学习到新姿势了!需要了解的知识点这是别人对PHP字符串解析漏洞的理解,我们知道PHP将查询字符串(在URL或正文中)转换为内部GET或的关联数组_POST。例如:/?foo=bar变成Array([foo] => “bar”)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news
2020-10-20 00:07:39
1922
1
原创 [GXYCTF2019]Ping Ping Ping
这是一个正常的命令执行的题目,还用不到反弹shell之类的操作。首先尝试分号,发现分号没有被过滤,因此可以执行多条语句。接着ls,发现存在index.php和flag.php。经过尝试,发现过滤了空格和flag以及一些符号。但是cat没有被过滤。尝试读一下index.php,其中空格可以通过$IFS$9来绕过:;cat$IFS$9index.php;<?phpif(isset($_GET['ip'])){ $ip = $_GET['ip']; if(preg_match("/\&a
2020-10-19 22:55:08
179
原创 PHP的回调后门
前言今天洪学长给我留个了任务,具体的就是关于回调后门这块的内容。我关于回调后门了解的很少很少,以前做南邮的题目遇到过一道三参数回调后门的题目,当时草草了解了一下,理解的不算很深。因此今天去学习了一下回调后门的相关内容。PHP的回调函数什么是回调函数?所谓的回调函数,就是指调用函数时并不是向函数中传递一个标准的变量作为参数,而是将另一个函数作为参数传递到调用的函数中,这个作为参数的函数就是回调函数。通俗的来说,回调函数也是一个我们定义的函数,但是不是我们直接来调用的,而是通过另一个函数来调用的,这个函
2020-10-17 20:23:45
1000
1
原创 2020年西湖论剑 easyjson
这题总的来说就是代码审计+(伪)文件上传+RCE。首先是代码审计:<?phpinclude 'security.php';if(!isset($_GET['source'])){ show_source(__FILE__); die();}$sandbox = 'sandbox/'.sha1($_SERVER['HTTP_X_FORWARDED_FOR']).'/';var_dump($sandbox);if(!file_exists($sandbox)){
2020-10-15 23:47:47
429
原创 CTFHub Bypass disable_function系列(已完结)
LD_PRELOAD首先我们需要了解LD_PRELOAD这个环境变量,这里有两篇文章可以参考:警惕UNIX下的LD_PRELOAD环境变量利用环境变量LD_PRELOAD来绕过php%20disable_function读完之后就会对LD_PRELOAD这个环境变量有所了解,知道了它是干什么的,但是对于如何利用还不太清楚。利用这个环境变量的话,可以使用这些函数:putenv()error_log()mail()LD_PRELOAD是Linux系统的一个环境变量,它可以影响程序的运行时
2020-10-14 19:13:42
3762
5
原创 NWPU CTF 西北工业大学留言板
前言这题考察的是session文件包含来获取flag。因为可以用伪协议读取相关的所有文件,所以建议在本地复现一下,可以更好的理解。WP环境一共有三部分,主页,留言板和tips。tips那里是phpinfo,从中可以得到很多我们需要的东西。首先发现index.bak.php?action=message.php,怀疑存在文件包含,尝试用php伪协议读取一下base64加密的源码,成功读取到了。重要的是msg.php:<?php header('content-type:application
2020-10-12 16:36:05
1122
原创 宝塔面板安装教程
前言昨天去西湖论剑玩了玩,完全被出题人按着打。赵总,永远滴神!Web的第一题属实让我见识到了宝塔waf的强大(恶心)之处,气得我要亲自装个宝塔以泄我心头之恨(真香)。总的来说,宝塔建站确实是个很不错的选择,简单,方便。就凭这两点,我已经爱上他了。不过有一说一,按照网上现在的说法,宝塔在某些方面还是有些nt,而且waf真的很恶心很nt。因此我应该也只是暂时性的使用它,然后慢慢去了解去摸索。安装因为我是装在ubuntu上的,因此直接使用命令:wget -O install.sh http://dow
2020-10-09 23:42:37
746
原创 Windows下使用Curl乱码解决方案
因为Windows下的中文环境编码是GBK,如果网页是其他的编码,使用curl就会出现乱码。这时候我个人认为最好的解决方案是打开cmd,输入chcp 65001,指示当前的code页是65001,也就是uft-8的那个页。然后再curl,就不会乱码了:另外一种解决办法也就是下载ICONV,然后配置ICONV的环境变量,在使用CURL的时候用上iconv就可以解决乱码的问题。不过我觉得没有上面那种方法好:...
2020-10-06 13:41:13
2555
1
原创 CTFHub .DS_Store
.DS_Store 是 Mac OS 保存文件夹的自定义属性的隐藏文件。通过.DS_Store可以知道这个目录里面所有文件的清单。因此进入环境用dirsearch扫,不过我发现扫不出来这个文件。。很尴尬,只能手动去打开去下载下来,然后用记事本打开,在里面发现了bbceb7e303e4805355988c30065fedf5.txt直接在URL里面请求这个bbceb7e303e4805355988c30065fedf5.txt,就可以获得flag了。...
2020-10-06 12:10:42
1738
原创 “百度杯”CTF比赛 十月场 fuzzing
前言这题并没有什么特别难的地方,考察的点也不算很深,自己主要还是知识面太窄和思考问题太死板上面。WP首先进入环境,提示there is nothing。f12查看源码,用dirsearch扫,试试备份文件也找不到什么,只能Burp抓包看看,发现了相应头里有提示:hint: ip,Large internal network这和ip有关,自己一开始也以为是x-forwarded-for,试了127.0.0.1然后没什么用,然后就卡住了。其实这样还是自己知识面的问题,自己对于内网的了解实在太少了。这
2020-10-05 21:26:21
730
原创 《从0到1:CTFer成长之路》 配套题目Web WP
前言自己刚学了CTF两个月,深感入门CTF的困难。非常感谢Nu1L战队可以编写这本一本非常详实而且全面的CTF书籍,为许许多多像我这样的弱鸡提供了入门的帮助。自己是Web方向,虽然学了两个月,但是并不是很系统的对Web进行学习。非要给个定位的话,自己现在顶多算是0.2,距离这本书的从0到1还有很大的差距。因此为了提高自己,真正的成为1,自己买了这本书而且要努力的进行学习。这本书的配套题目可以说给了自己学习知识的同时进行实践的机会。本来不想写WP的,因为考虑到Nu1L的微信公众号已经给出了WP。不过自己
2020-10-05 18:09:08
18586
22
原创 “百度杯”CTF比赛 十月场 Hash
WP这题也是学习到了很多新的姿势,是一个不错的题目。WP进入环境,点击haha,提示:you are 123;if you are not 123,you can get the flag。再看看,发现get参数里有key=123&hash=f9109d5f83921a551cf859f853afe7bbf12查看源码,发现$hash=md5($sign.$key);the length of $sign is 8因此我们需要知道$sign是多少。我利用在线md5解密工具,上面的hash
2020-10-04 16:20:50
617
原创 i春秋 第二届春秋欢乐赛 Hello World
前言有一说一,这个题目真的阴间,心态快被搞炸了。WP进入环境之后抓包,看源码,看是否有.bak文件都不行,用dirsearch扫一下,发现存在git泄露。然后使用githack,发现了三个文件:发现flag.php里面是一串关于加密的东西,我以为flag需要我来进行解密,然后。。。。我人就没了。。。这题的githack有坑,本题的考点原意是.git/logs/HEAD文件的利用,而githack并没有对其中的hash提取,因此遗漏了部分的object。简单的来说就是有重要文件githack没有提
2020-10-03 23:27:19
852
原创 CTFHub HG泄露
这题和之前的git和SVN同样的方法。这里用dirsearch扫出.hg,说明存在HG泄露。然后用dvcs-ripper里的rip-hg.pl来获取.hg。不过这里工具并没有获得全部的文件。也是应了题目的提示,不太好使的情况下, 试着手工解决。我们查看.hg/store/fncache文件,发现flag文件名是flag_37074103.txt。直接在浏览器里请求,就可以得到flag:不过对于原理还是不太了解,因为自己对于SVN和HG并不像对于Git那么了解,也没有真正的用过这两个。还是要努力学
2020-10-03 22:29:03
2254
1
原创 第一届“百度杯”信息安全攻防总决赛 线上选拔赛 Upload
前言有一说一,这题应该算是比较全面,而且难度适中的一题。全是都是固定的套路,知道怎么绕过, 怎么去做,就很简单。我做的时候卡在了第一个点上。。只能说,凡是遇到写python脚本的我都没做出来过。唉。还是畏惧了。因为python很差,遇到题目自己的思路里就没有写python脚本。还是能力的问题,需要加强。WP首先进入环境,提示我们要做个fast man。我的第一反应是302跳转,但其实是写python脚本去post。f12看看源代码发现了:Please post the ichunqiu what yo
2020-10-03 18:44:49
1125
原创 CTFHub SVN泄露
用dirsearch扫一下目录,发现了/.svn/wc.db文件的存在,说明存在SVN泄露。使用dvcs-ripper的rip-svn.pl进行处理。我是在kali里进行的,我发现在windows上的话会有玄学问题。弄了很久还是不行,但是又苦于切换系统太麻烦,最后直接装了虚拟机。生产力果然提高了很多。就是直接在github上下载dvcs-ripper,然后进入dvcs-ripper-master文件夹里使用命令就可以了。然后开始使用:再tree看看:需要注意的是,.svn是隐藏文件,在linux
2020-10-03 18:04:25
1380
原创 “百度杯”CTF比赛 十月场 Not Found
前言有一说一,这题还是挺阴间的。不过自己也是学习了新的姿势。WP进入之后提示404.php没有,然后扫一下目录发现1.php,访问也没有flag,再直接访问404.php是haha(出题人出来挨打)。之后进行一些尝试均已失败告终,去看了看WP。首先就是直接访问网站的时候,响应头里有一个x-method是haha:原来这是提示我们要换请求方式(出题人在哪????haha 什么呢????)HTTP请求就那几种方式,挨个试,在试到OPTIONS的时候出现了重定向:点一下关注重定向:发现请求变
2020-10-01 22:54:13
1945
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人