- 博客(6)
- 收藏
- 关注
原创 2021-10-14 buuctf SSRFme
SSRFme 打开题目,审计代码 前面一段会返回我们的IP,然后会将"orange"和我们的IP拼接后进行MD5加密 通过url参数输入的内容会以GET命令执行, 执行结果会被存入以filename参数的值命名的文件里 构造读取根目录并创建文件a Payload:/?url=/&filename=a Md5加密后的orange+IP:2ba7fe56ffb251699ec6e09ae00f2e87 查看文件 /sandbox/2ba7fe56ffb251699ec6e09.
2021-10-14 22:02:34
215
原创 2021-10-13 buuctf EasySQL
EasySQL 先注册登录 注册页面的username和Email有过滤,先fuzz一下 反斜杠没被过滤用 \ 做用户名密码和邮箱注册一下并登录 登录后没发现啥有用的 看到了一个修改密码 点击submit 发现是因为用户名不合理导致的报错 由'"\" and pwd='d41d8cd98f00b204e9800998ecf8427e'' 可猜测原sql大概为 select * from user where username='"\" and p...
2021-10-13 20:56:35
1078
原创 2021-10-12 buuctf Flasklight
Flasklight 打开题目,flask应该是ssti,但是没有输入点 查看源码发现参数search 试着传入?search={{7*7}} 发现存在ssti注入 构造payload: ?search={{[].__class__.__base__.__subclasses__()}} 编写脚本 import requests as res import time for i in range(0,400): url="http://...
2021-10-12 21:05:32
148
原创 2021-10-10 buuctf Ezsqli
Ezsqli 打开题目,有输入框,题目名提示是sql注入 输入1 输入2 输入3 先看看过滤 用字典跑跑 (字典有限就跑出来这几个过滤) 可以看到一个关键的information被过滤了 试试无列名注入 这里要用到sys库 schema_table_statistics_with_buffer和x$schema_table_statistics_with_buffer可以 代替information.schema帮我们找到表名 借用隔壁的脚本 ..
2021-10-10 20:29:16
457
原创 2021-10-07 buuctf Easy web
Easy web 打开题目,用dirsearch扫到robots.txt 找到备份 发现只有image可用 下载备份 addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 源码里还看到,还会把\0,%00,\替换为空. 可以传递id和path两个参数,触发SQL注入,前提是要绕过对id和path的过滤。接下来想办法绕过过滤,主要是破坏单引号。 测试代码 如果传入一个\\0,经addslashes()函数后变成\\\0 \\0被过...
2021-10-07 20:20:02
220
原创 2021-09-30 buuctf Can you guess it?
Can you guess it? 点击Source查看源码 题目告诉了我们flag的位置在config.php 不能以config.php结尾 这里还用到basename函数 basename() 函数会返回路径中的文件名部分 假如路径是/index.php/config.php basename后会返回config.php,就算后面跟上多余的字符也会返回文件名部分 在官方的英文描述中 With the default locale setting
2021-09-30 19:47:04
281
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人