BUUCTF
文章平均质量分 78
刷题笔记
rumilc
优等的心️,不必华丽,但必须坚固!努力不一定成功,但放弃注定失败!拼搏铸就辉煌!
展开
-
BUUCTF-[极客大挑战 2019]PHP
通过第二个if控制语句,我们发现通过正则表达式过滤掉了flag,所有说file参数传入时,如果有flag出现就会被过滤掉,我们再根据下一句话,文件包含,我们尝试去获取useless.php 的源码,看是什么信息,再次构造payload。发现是网页的源码,经过分析可得,三个参数分别为text,file,password通过get方式进行传参,在if控制语句当中,设置text变量,并在文件当中读取数据,要等于welcome to the zjctf才会返回true。:私有的类成员则只能被其定义所在的类访问。原创 2023-06-29 10:20:55 · 263 阅读 · 0 评论 -
BUUCTF[极客大挑战 2019]BabySQL
通过输入非0数字,能正常回显,0和字母不能正常回显,什么都没有显示。刚刚我们输入非0数字正常回显,0和字母不能正常的回显,猜测说明sql语句当中可能存在||运算符,只有输入非0数字,才会返回true,回显条件。可观察网页的源码信息,发现有check.php,猜测可能是登录界面时,输入账号和密码的跳转界面,提示信息。通过上面的过程我们不难发现,此时还存在过滤,from和where也被过滤,同理双写绕过。拿到该靶机,观察界面,存在登录说明存在可能SQL注入,根据题目也可得知存在SQL注入。原创 2023-06-25 14:43:41 · 2062 阅读 · 2 评论 -
BUUCTF-[MISC杂项]-[大白] 到[zip伪加密]
BUUCTF-[MISC]-大白-----到----->BUUCTF-MISC-zip伪加密原创 2023-06-26 20:28:40 · 538 阅读 · 0 评论 -
BUUCTF-[强网杯 2019]随便注
首先,正常是查words表的数据,我们先将words表重命名成别的,名字任意。查看表的字段信息,发现flag,但是我们没有办法查看flag的内容,我们再看看words表中的数据字段。表改名,改为words,将flag字段改为id,然后在使用万能钥匙爆数据。观察发现,我们查出来的数据,可能就是words表当中的数据,我们可以将。注意:表名如为数字时候,使用``引用,否则不能正常查看信息。输入3报错,将3换成2,若不报错,则说明该表有2列字段。最后,使用万能钥匙,爆表的数据。正常的提交数据,可查询出信息。原创 2023-06-28 11:28:30 · 187 阅读 · 0 评论 -
BUUCTF-[Misc杂项]---二维码
打开压缩包不难发现,压缩包里面的文本文件被加密了,我们猜测里面的信息内容很有可能就是我们想要的信息,根据以上的操作和分析,以及二维码的提示,我们可以进行爆破压缩包的密码。得到此条信息,我们继续分析,将图片拖到kali linux当中,尝试分离图片,进行查看。根据压缩包当中的文本文件的文件名,猜测很有可能密码是4位的数字,我们进行暴力破解。提取后会生成output文件夹,将其拖到自己的电脑桌面,进行查看(方便操作)先来查看zip文件夹,看里面是否有我们想要的信息。根据提示,先选择数字,长度位4。原创 2023-06-24 18:25:36 · 2792 阅读 · 1 评论 -
BUUCTF-Web[ACTF2020 新生赛]Upload
尝试修改后缀为:php1,php2, php3, php4, php5, phps, pht, phtm, phtml。经过测试和验证,当后缀为.phtml时上传成功的同时语句能被解析,可通过蚁剑连接。这次告诉我们这是一个有害的文件,无法正常上传,说明后端也做了过滤,我们尝试绕过。访问成功,验证是否可执行php语句,能被解析。连接成功,添加,并进入到文件目录,找flag。同理图片码也无法进行解析,上传无效。浏览器搜about:config。修改文件后缀,上传成功但无法解析。回到靶机界面,刷新后,再次上传。原创 2023-06-24 16:09:46 · 2302 阅读 · 0 评论 -
BUUCTF-[ACTF2020 新生赛]BackupFile
根据题目分析可得,我们可以尝试爆破目录,获取一些信息,或者尝试访问/index.php是否有反应,是否存在页面备份文件。通过源码的分析可知,在传递的key参数当中,存在PHP弱比较(==),关键点在于is_numeric函数。接下来我们继续分析,网站的源码备份文件,猜测是否为/index.php.bak,尝试访问。===在进行比较的时候会先判断两种字符串的类型是否相等,再比较。== 在进行比较的时候,会先将字符串的类型转换为相同,再比较。再看源码当中的str变量给的字符串,还有输出if控制语句,原创 2023-06-28 09:51:56 · 428 阅读 · 3 评论