- 博客(44)
- 收藏
- 关注
RSS订阅原创 [极客大挑战 2019]RCE ME
知识点无字母数字RCE绕过disable_functionsWP首先进入环境审一下代码:<?phperror_reporting(0);if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long.");
2020-11-29 00:11:19
291
1
原创 [CISCN2019 华东南赛区]Web11
知识点Smarty的SSTIWP很水的一道题,进入环境大致看了一下,因为是个命令执行或者其他功能的题,然后发现了最下面的Build With Smarty ! 大概率就是Smarty的模板注入了:Smarty SSTI经过测试,发现x-forwarded-for那里存在SSTI,直接得flag:{system("cat /flag")}做了这么久buuctf…终于有一个这么简单得题目了。。。一直被虐惨了。。。...
2020-11-28 22:55:19
295
原创 [GWCTF 2019]枯燥的抽奖
知识点mt_rand()存在的问题WP这题是一道很简单的题目。。但是自己几乎把这题能踩的坑全给踩了一遍。。。首先是通过check.php来审一下源码:<?php#这不是抽奖程序的源代码!不许看!header("Content-Type: text/html;charset=utf-8");session_start();if(!isset($_SESSION['seed'])){ $_SESSION['seed']=rand(0,999999999);}mt_sr
2020-11-28 00:51:54
261
原创 [GYCTF2020]FlaskApp
知识点Flask模板注入中debug模式下pin码的获取和利用WP进入环境,根据题目的提示这是一道flask的题目,经过信息收集,在hint页面发现了pin,经过谷歌发现这题的思路大概就是,因为开启了debug模式,所以可以利用ssti注入读文件最终获得pin码,然后利用pin码进入debug模式的交互式命令行进行命令的执行。首先是要找到ssti的点。经过测试,发现是解码的那里,如果输入{{1+1}},解码后回显的结果是2,因此存在SSTI。但是经过测试,执行命令的SSTI注入方式被过滤了,按照
2020-11-27 18:53:56
1678
2
原创 [GKCTF2020]老八小超市儿
知识点shopxo后台全版本获取shell搜索能力WP这题又没做出来,很迷,只要问题在于自己知道应该是考察shopxo的漏洞,但是发现怎么查都查不到,但是大师傅们总能是可以查到各种他们需要的东西,还是自己搜索的能力太弱了,这方面的能力也需要加强啊,毕竟做题都是面向谷歌搜索(笑)。这题的获取shell可以参考这篇文章:渗透测试|shopxo后台全版本获取shell复现已经讲的很详细了,一直到把文件传上去都是很详细的。但是传上去的文件到底在哪是一个很大的问题。通过在主页f12看源码,可以看
2020-11-27 00:44:09
280
原创 [MRCTF2020]Ezpop
知识点PHP反序列化POP链知识点是一道简单的PHP反序列化POP链的题目:<?php//flag is in flag.php//WTF IS THIS?//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95//And Crack It!class Modifier { prote
2020-11-25 22:57:31
221
原创 [BJDCTF 2nd]xss之光
知识点PHP中利用原生类的反序列化以实现XSSWP又是新姿势。进入环境进行了常规的信息收集,发现存在git泄露,下载下来:<?php$a = $_GET['yds_is_so_beautiful'];echo unserialize($a);除了这个反序列化之外,什么都没有了。自己也是一脸蒙蔽,然后卑微的去看了WP。这题其实是XSS,但是利用的是PHP的反序列化。主要知识点是php 的原生类中的Error 和Exception 中内置了toString 方法, 可能造成xss漏
2020-11-24 18:07:41
213
原创 NCTF2020 你就是我的master吗
前言第一次参加南邮的NCTF,表示题目出的质量很好,出题人也很好,平台也很好,交flag也不需要验证码(逃~),总的来说就是好,明年还会参加。见证了过了1天PWN仍然0解的状况,南邮的PWN还是强啊。总榜第一的大师傅还是强啊,但是为什么是梅子酒不是郁离歌呢?(逃~):Web题目的质量还是挺高的,虽然我不会。。。今年只能做出来最简单的那道SSTI,争取明年能再创新高。。WPF12看源码,发现了?name=master,url传一下发现回显了,大概率是SSTI,经过测试是Jinja2的SSTI,然
2020-11-22 23:05:13
758
2
原创 四个月的小结
四个月的小结今天西安下起了一场似雨又非雨的雪。早上也是看到了尚老板发的4道题目,在9点从床上爬了起来,1道文件包含,1道条件竞争和2道不难的SQL注入,自己也只做了出来那道条件竞争,深感自己是个fw。中午也是实在忍受不了饥饿爬了出去吃了顿饭,然后继续回到寝室躺尸。这个周末和这学期的其他周末相比多了一些迷茫。周六打了一会NCTF,除了那道被打穿了的SSTI,其他的题目都是毫无思路。每次自己都会告诉自己一句话,自己实在太菜了。回想起去年的自己,当时还是大一的信息类,这个时候应该还在学c语言,而且学的一塌糊涂
2020-11-22 21:16:33
728
4
原创 [CISCN2019 华北赛区 Day1 Web1]Dropbox
知识点PHP代码审计phar和反序列化文件读取猜nt的flag文件名和它在哪WP进入环境随便注册登录,发现存在文件上传,上传之后会有下载的功能,对这个功能进行抓包,发现存在文件读取:然后就想办法把这题所有的文件都给读取下来,重要的就是download.php,delete.php和class.php://download.php<?phpsession_start();if (!isset($_SESSION['login'])) { header("Locatio
2020-11-21 23:42:26
190
1
原创 [NCTF2019]True XML cookbook
知识点XXE/etc/hostsWP还是熟悉的页面,直接把之前fake那题的payload拿过来,但是读取不了,应该是没有/flag这个文件。又读了一些东西,没什么用,最后直接看了WP。这题是读/etc/hosts来获得内网ip,真的是姿势盲区。。。。可以看到读到的是10.166.138.9,但是直接http访问不到,还要爆破一下。。。最终在10.166.138.11读到了flag:好家伙,学到新姿势了!读关于内网ip的文件还有这些姿势:/etc/hosts/proc/net/a
2020-11-21 20:08:20
479
原创 [极客大挑战 2019]FinalSQL
知识点SQL盲注python脚本知识点这题按照提示是盲注了,注入点也是在id那里,不过自己对于盲注学的实在是太菜了,利用的^这个姿势:?id=1^(length(database())<5)^1真假全靠中间的语句来判断,然后写一个python脚本来爆一下:import requestsurl='http://5ff6066f-48be-4bf6-9ab1-c2ca3f2abf41.node3.buuoj.cn/search.php?id=''''爆数据库长度'''''
2020-11-21 00:00:59
110
原创 [WUSTCTF2020]朴实无华
知识点intval函数漏洞md5的弱类型比较漏洞命令执行绕过空格WP这题还是不难的,自己太菜了。。。做了1个小时才做出来,主要还是对这些php本身的漏洞不太熟悉,导致浪费了很长时间首先进入环境,试试robots.txt,发现了fAke_f1agggg.php,访问这个文件,在响应头里面发现了fl4g.php,再访问一下就得到源码了:<?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);hig
2020-11-20 20:36:28
217
1
原创 [BSidesCF 2020]Had a bad day
知识点文件包含WP进入环境后随便选一个点一下,发现url变了:index.php?category=woofers不知道category传进入有啥用,随便改一下传进入,发现:Sorry, we currently only support woofers and meowers.加上woofers再传一下:说明是文件包含,经过尝试发现flag应该在flag.php那里。绕过的姿势就是姿势盲区了,感觉能知道这个姿势的大师傅们真的是太强了:?category=php://filte
2020-11-20 16:22:42
155
原创 [安洵杯 2019]easy_serialize_php
知识点代码审计反序列化逃逸WP自己做了3小时终于解出来了。。这题其实不算太难,主要还是自己对于PHP反序列化逃逸接触的还是太少,审代码审了很久,payload也构造了很久才构造出来,而且payload构造的也不算简洁,不过思路都是一样的。首先进入环境,看一下源码:<?php$function = @$_GET['f'];function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'
2020-11-19 20:34:29
506
原创 [BJDCTF 2nd]简单注入
知识点SQL注入,利用\来转义单引号。WP这题查看一下robots.txt,会发现hint.txt,然后就是这个:select * from users where username='$_POST["username"]' and password='$_POST["password"]';感觉是很简单的SQL注入,但是过滤了单引号,结果自己没做出来。。。其实绕过的方式就是利用\来转义,自己当时也试过,但是不知道怎么回事没看出来自己成功了。。。这题的爆表的姿势怎么说呢。。就是直接对us
2020-11-19 15:54:18
211
原创 [SWPU2019]Web1
知识点二次注入绕过information_schema无列名注入WP进入环境后随便注册登录,经过尝试,最终发现了发布广告的title存在二次注入,当我们点击广告详情的时候就实现了二次注入。不过这题的限制也有些烦,过滤了or之类的。自己没能做出来主要的原因还是不太自信。。。自己在尝试union注入的时候发现列的数量老是不对,试到10列的时候就以为自己的注入姿势有问题,就没有继续尝试,换成bool注入,虽然脚本确实可以跑,但是在buuctf上会429,很烦。后来调整思路,猜测还是union注入,但
2020-11-18 18:48:20
143
原创 [CISCN 2019 初赛]Love Math
前言还是在buuctf上做题,做到了这个国赛的题目,感觉自己还是太菜了,创造力少的可怜,一点基本的对知识的运用能力都没有,还是要加油啊。WP进入环境进行代码审计:<?phperror_reporting(0);//听说你很喜欢数学,不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){ show_source(__FILE__);}else{ //例子 c=20-1 $content = $_GET['c']; if (strlen
2020-11-18 15:13:44
774
1
原创 [ASIS 2019]Unicorn shop 1
知识点unicode和uft-8WP进入后就是购买东西的页面,f12看源码可以看到一些提示,我光注意提示了,没注意提示的前面的东西,比如这个:就没有注意到uft-8这个东西。根据题目的提示,这题应该和unicode有关,自己也大致猜到了应该是要找一个unicode的字符可以表示数字,而且数值大到足够买东西。但是我试第一个的发现购买不了,前三个都是这样。然后我就以为我的思路出了问题,是不是要注意其他的东西。然后就卡住了。。。还是太菜了。看了一下WP,学到了很多东西。原来第四个和前三个不一样,
2020-11-17 22:05:12
1263
1
原创 [NCTF2019]Fake XML cookbook 1
知识点XXE(XML外部实体注入)WP关于XML及其相关的注入,看看这篇文章:从XML相关一步一步到XXE漏洞因为这题是最简单的XXE注入,照着文章里的姿势用就可以了。最后payload如下:<?xml version="1.0" ?><!DOCTYPE feng [<!ENTITY file SYSTEM "file:///flag">]><user> <username>&file;</usernam
2020-11-17 18:35:31
1052
原创 [SUCTF 2019]Pythonginx 1
知识点CVE-2019-9636:urlsplit不处理NFKC标准化nginx重要文件的位置url中的unicode漏洞引发的域名安全问题(19年black hat中的一个议题)跑python脚本(逃~。。。。)WP这题自己其实已经找到了方法,但是还是没敢继续尝试。首先我们需要知道nginx重要文件的位置:配置文件存放目录:/etc/nginx主配置文件:/etc/nginx/conf/nginx.conf管理脚本:/usr/lib64/systemd/system/nginx.
2020-11-17 15:47:41
1500
原创 [BJDCTF 2nd]假猪套天下第一 1
知识点HTTP请求头伪造。WP进入环境感觉是个登录页面。。admin登录会弹窗,然后不行。随便登录却能登录成功。登录的时候抓包看一下,发现了<!-- L0g1n.php -->然后就是各种HTTP请求头的伪造了。 Sorry, this site will be available after totally 99 years!这个可以把Cookie那里的time加个[]:Cookie: PHPSESSID=96usdssv1f1mb25egjtbbt1rm5; time[]
2020-11-16 20:56:45
251
原创 [GKCTF2020]CheckIN 1
知识点Bypass disable_functionWP这题直接给了个后门,猜测存在一些限制,看了一下phpinfo里的disable_function发现把能命令执行的全给毙了。。。然后蚁剑连上去,发现根目录下存在/flag和/readflag,直接读/flag文件读不了,看来要利用/readflag,但是怎么利用是个姿势盲区,我用蚁剑的bypass插件全给试了,都不行。。主要自己的问题是没有仔细的观察php的版本。这个php的版本是7.3,php7.0-7.3存在一个漏洞:Use After
2020-11-16 19:16:42
215
原创 [BJDCTF2020]ZJCTF,不过如此 1
知识点一些协议preg_match的/e修正符正则表达式,涉及到了后向引用。WP前面的没啥好说的,text用data协议绕过:?text=data://text/plain,I have a dream然后尝试用php的伪协议读一下next.php:&file=php://filter/read=convert.base64-encode/resource=next.php审一下代码:<?php$id = $_GET['id'];$_SESSION['id']
2020-11-16 16:26:12
374
原创 [BJDCTF2020]The mystery of ip 1
WP进入环境,发现还是那个熟悉的页面,hint里给我们提示了ip,在flag.php那里尝试xff头,发现成功回显,说明回显的点在xff头那里。猜测是SSTI。我输入{{7*‘7’}},回显了49,我以为是Twig的模板注入,把payload扔进去发现报错了。把报错信息扔到谷歌里面查了一下,发现这是是Smarty的SSTI。参考文章如下:Smarty SSTI最终采用if的方法成功得到了flag:{if system("cat /flag")}{/if}然后看了一下WP,发现这样直接出了。
2020-11-16 09:05:54
1141
原创 [GWCTF 2019]我有一个数据库 1
知识点phpmyadmin4.8.1后台任意文件包含漏洞WP进入环境试了一下robots.txt,发现phpinfo.php.但是没什么用。尝试了一下phpmyadmin,发现确实存在这个页面。然后就卡住了。这里考的是phpmyadmin的漏洞,自己还是对这个不熟啊。通过查看信息,可以直接它的版本是4.8.1,谷歌一下,都是payload:http://978df87e-5c45-4a14-89c1-e6f378ecb9fc.node3.buuoj.cn/phpmyadmin/?target
2020-11-13 23:12:22
422
原创 [De1CTF 2019]SSRF Me 1
知识点python代码审计SSRF哈希长度拓展攻击WP首先进入环境,是一串python代码,整理一下:#! /usr/bin/env python# #encoding=utf-8from flask import Flaskfrom flask import requestimport socketimport hashlibimport urllibimport sysimport osimport jsonreload(sys)sys.setdefaultenc
2020-11-13 19:45:47
1930
2
原创 [BJDCTF2020]Mark loves cat
知识点变量覆盖WP首先进入环境什么都找不到,尝试/.git/config,发现成功下载了下来,说明存在git泄露,用工具把源码弄下来,开始审计:<?phpinclude 'flag.php';$yds = "dog";$is = "cat";$handsome = 'yds';foreach($_POST as $x => $y){ $$x = $y;}foreach($_GET as $x => $y){ $$x = $$y;}fo
2020-11-13 12:35:14
112
原创 [安洵杯 2019]easy_web 1
前言这题是一道没出好的题目,导致了后面的正则匹配出现了很大的问题,不过因为我也菜。。我也对这个正则匹配没有理解好。所以我没看出这个问题。。。WP前面的题解就尽量省略一些,主要讲一下最后命令执行的正则匹配。看到url的img传参,base64二次解密再加一次hex解密,就可以得到555.png,因此我们反向构造index.php,得到index.php的源码:<?phperror_reporting(E_ALL || ~ E_NOTICE);header('content-type:text
2020-11-12 20:05:21
459
1
原创 [BJDCTF 2nd]old-hack 1
WP一道直接利用thinkphp的RCE洞的题目。首先进入环境,得知这是一个thinkphp5,通过输入?s=1来报错,获得版本信息(是一个小姿势):tp5.0.23这个版本以及相近的版本以RCE而出名的,去网上搜一波payload,搜到了:?s=1_method=__construct&filter[]=system&server[REQUEST_METHOD]=ls /直接打就可以执行。不过我一开始执行的时候,光看到了system(): Cannot execu
2020-11-12 14:42:37
1041
1
原创 [GXYCTF2019]禁止套娃 1
知识点git泄露PHP中正则表达式的递归无参数RCEWP自己做这题的时候对于这个正则表达式的递归和无参数RCE都是第一次接触,连正则表达式都没看懂。。之后上网查了一下资料,写下了这篇WP。首先进入环境,用dirsearch扫一下,存在git泄露,用工具把源码弄下来:<?phpinclude "flag.php";echo "flag在哪里呢?<br>";if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|
2020-11-11 18:41:09
1156
1
原创 [GKCTF2020]cve版签到 1
WP这题的SSRF还是挺明显的,抓包看一下响应头,可以得到:Hint: Flag in localhost说明SSRF要访问127.0.0.1,但是必须要以.ctfhub.com结尾。一开始我以为是后端判断的代码的问题,可以用@2个host这样的方法来绕过,但是不行。后来看了一下hint,提示了这个:在低于7.2.29的PHP版本7.2.x,低于7.3.16的7.3.x和低于7.4.4的7.4.x中,同时将get_headers()与用户提供的URL一起使用时,如果URL包含零(\ 0)字符,则
2020-11-10 17:28:52
225
原创 [极客大挑战 2019]HardSQL 1
前言都是自己已知的SQL注入姿势的运用。。自己还是太菜了。。。WP还是那个登陆界面,还是进行SQL注入。经过一些尝试,发现过滤了空格,可以用括号来过滤,但是问题是我对于SQL语句里的括号的使用还是非常的不熟练,并没有真正理解它,但是我在爆表名的时候卡住了。。。这题其实就是报错注入,先爆数据库名:?username=admin'or(updatexml(1,concat(0x7e,(database()),0x7e),1))or'1&password=1然后是爆表名的时候要注意过滤了
2020-11-09 21:02:24
667
原创 [GXYCTF2019]BabySQli 1
前言一道比较基本的SQL注入题目。。。主要的卡点是最后的md5那里,自己想到了要经过md5判断,但是想的有点问题。。WP进入环境进行SQL注入的测试,经过尝试大致能发现过滤了括号,or,=等等,过滤了括号导致了很多函数我们不能用,正常的注入思路是这样:name=-1' union select 1,'admin','1-- -&pw=1但是会提示密码错误。如果抓包的话,响应头里会有这个:<!--MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBS
2020-11-09 18:14:09
1255
原创 0CTF-2016-Web-piapiapia
知识点备份文件下载PHP代码审计数组绕过preg_match反序列化字符逃逸WP首先进入环境,查看源代码,发现了备份文件:然后下载下来,进行代码审计。审计完之后可以知道,flag是在config.php文件里,但是我们没法直接读取。唯一可以读取文件的就是profile.php里的这个:else { $profile = unserialize($profile); $phone = $profile['phone']; $email = $profile['email'];
2020-11-07 00:05:16
288
原创 2017-赛客夏令营-Web-Injection V2.0
WP还是一道SQL注入的题目。经过尝试,用户名是admin,但是过滤了空格和括号。空格可以用/**/或者TAB来绕过,但是括号的过滤导致了各种函数都不能使用。我在网上查找绕过括号过滤的方式,找到了order by盲注,文章如下:sql注入之order by注入本来我以为的是要不断的爆破密码,但是我直接就爆出flag了:本来这种方式的用法是这样的,如果你输入的密码比真实的密码小,就会回显admin的结果。如果你输入的密码比真实的密码大,就会回显你select的用户名为1的结果。但是这里却直接爆了f
2020-11-06 12:54:43
388
原创 2018-TokyoWesterns-Web-shrine
前言要去好好学一下python了,python的SSTI做起来真的好难,就感觉自己没学过python一样,这道题查了很多的资料,还是感觉似懂非懂,还是对python学的太浅了,因为目前自己还是停留在写写小爬虫小脚本的基础上。还有php,如果学习python或者php都站在开发的角度上来进行深入的学习,学成之后再去看这些内容肯定会非常的轻松,但是自己一开始觉得搞安全可以不搞开发,能审出洞就可以了,事实上如果不懂开发,连代码都看不懂,真的是拿头去审。所以关于SSTI就暂时做到这个题目,接下来关于ctf的学习也
2020-11-05 22:52:45
480
原创 BDJCTF-2020-Web-easy_search
WP进入环境,看到是个登录页面,第一反应是SQL注入。。。然后我就在SQL注入的路上一去不复返了。感觉自己就是做题思路不是很开阔,知识点学的差是一个方面,思维的发散性又是一个方面。这题关键的信息在index.php.swp,考虑到自己SQL注入不行,应该去转换思路,去尝试其他的方向,比如备份文件这样的。不过这题似乎直接扫目录就可以扫到index.php.swp,不过我dirsearch没扫到,还是自己字典的问题,要慢慢增加自己字典的容量。然后就是代码审计:<?php ob_start();
2020-11-05 16:40:10
433
原创 2020-网鼎杯-青龙组-Web-AreUSerialz
前言是一道PHP反序列胡的题目,不过那个ASCII的绕过就是我们知识盲区了,还有就是路径的问题,不过我是在CTFHub上做的这个题目,不存在路径的问题。WP首先进入环境,进行代码审计:<?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler{ protected $op; protected $filename; protected $content; functio
2020-11-03 22:19:21
770
2
原创 2020-网鼎杯-朱雀组-Web-nmap
WP和BUUCTF里的2018 Online Tool非常类似。首先就是中是个nmap命令注入,有2个方式:利用-oG,可以将命令和结果写进文件。利用-iL 和-oN。其中-iL是从inputfilename文件中读取扫描的目标。在这个文件中要有一个主机或者网络的列表,由空格键、制表键或者回车键作为分割符。如果使用-iL-,nmap就会从标准输入stdin读取主机名字。你可以从指定目标一节得到更加详细的信息,-oN是把扫描结果重定向到一个可读的文件logfilename中。关于escapesh
2020-11-03 10:31:15
829
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人