- 博客(55)
- 收藏
- 关注
RSS订阅原创 第一周web
里面的username要等于admin,password会经过正则的过滤,然后输入的password需要与数据库里面查出来的password一样,才可以输出flag。然后把index.php,delete.php,download.php,class.php(看到其他文件包含),login.php,register.php。发现是有一个参数控制的,直接输入文件名下载是不行的,要搞成绝对路径/var/www/html/xxx.php。源码例的是骗人的,不是flag.php,/flag是看wp看出来的;
2023-03-19 20:31:07
428
原创 [第五空间 2021]pklovecloud
也可以直接不给$neutron,$nova,$docker值。除了按部就班的根据代码来写序列化。
2023-03-17 16:23:20
157
1
原创 [GXYCTF 2019]Ping Ping Ping
cat$IFS$9$a$b.php不会成功,给a和b赋值时,fl在前,ag在后就会出错。这个`ls`相当于看index.php和flag.php。禁了空格,并且不能用${IFS},因为{也禁了。看index.php的源码。bash被禁了,所以用sh。可以base64编码绕过。
2023-03-11 13:48:30
317
原创 2020长安杯网站重构
然后systemctl start docker开启docker服务。systemctl start mssql-server开数据库服务。service network restart 重启网卡。在检材3里面win+r输入services.msc。docker start sql1开数据库容器。之后改/etc/resolv.conf。注意在检材4虚拟机设置的里面选这个。把检材3,4仿真开起来。
2022-10-26 16:44:52
952
原创 [CISCN2019 华北赛区 Day1 Web5]CyberPunk
再修改订单的时候他把旧的地址也记了下来,用到了原来的东西,可以利用这个搞,但是我怎么也没想到用报错注入。如果原来没有这个订单,那就插入就去,这个订单。之后就是再提交的时候把语句放在地址哪里,因为其他的地方过滤,然后修改订单报错得到信息。这个对地址用来addslashes函数,然后和之前一样,查到之后更新信息。进去发现有查订单的,还有修改要查的订单的,想到有没有可能是二次注入。应该是发现flag不在里面,然后猜了一下flag的名字,然后读。大概就是,查到的不对,然后报错,并且出现错误的信息。
2022-09-26 09:17:37
482
原创 做题笔记2
当我用__mro__和__base__的时候,__base__是直接全都有builtins,而__mro__[]则是根据中括号里面的不同数字有不同数量的builtins,感觉__base__要好用一点。为什么要在前面加一个index.php呢,因为config.php里面只有一个flag的值,而利用basename只在index.php里面,所以要在index.php里面通过。进去没有什么有用的,看源码,有一个get的search参数,题目又是flask,试一试ssti注入。
2022-09-24 18:13:41
883
原创 做题笔记1
大概就是由三个if,前面两个不能就去,但是要就去第三个if,而第二个和第三个直接有一个idna的编码和utf-8的解码,应该就是从这里来把finalUrl的域名变成suctf.cc。进来是一个登录页面,试了sql没有试出来,那就用御剑扫一下,没有扫出来,看wp发现是index.php.swp,字典里没有,加上去。一个一个试发现file://suctf.cⒸ/usr/local/nginx/conf/nginx.conf可以。配置文件目录为:/usr/local/nginx/conf/nginx.conf。
2022-09-23 19:21:46
662
原创 [EIS 2019]EzPOP
这里expire默认null,然后进入if,expire的值变为options['expire']的值,而data里面需要expire为十进制数,所以要把options['expire']的值改为十进制数。这里相当于先判断data是不是数字,然后返回由options['serialize']所代表的函数之类的处理过后的data,options['serialize']的值需要是一个不影响data的函数。把options['prefix']拼在name的前面。然后这些都是在自定义的set函数下进行的。
2022-09-11 19:22:28
381
原创 永恒之蓝漏洞复现
一台kali ip 192.168.238.137。一台win7 IP 192.168.238.131。扫到win7的ip,之后看靶机的信息。把win7的防火墙关了。
2022-09-05 20:07:08
260
原创 ms08-067漏洞复现
net user 1234 1234 /add 增加一个用户。一台kali ip 192.168.31.134。一台winxp ip 192.168.31.81。设置目标机ip 攻击机ip xp系统。发现可能存在ms08067漏洞。之后shell,看有什么用户。用nmap扫xp的信息。用msfconsole。...
2022-08-27 09:46:55
252
原创 流量分析题目
看提示应该是要找密钥,然后解密,再找flag,一般密钥都在tcp里,tcp contains "KEY"找到一个base64编码用这个网站把base64解码,右下另存为png就可以,然后用下面这个网站提取文字就可以之后与提示给的md5值比对,去掉一些多余的字符,保存为txt,然后在wireshark的编辑->首选项->procotls->tls,点击edit,+号,把密钥加进来就行在看http流量就行。............
2022-08-24 20:12:46
160
原创 利用SSLsplit+arpspoof 实现ARP欺骗
SSLsplit是纯粹的透明代理,不能充当浏览器中配置的HTTP或SOCKS代理。SSLsplit支持SSL 3.0,TLS 1.0,TLS 1.1和TLS 1.2,以及可选的SSL 2.0。-i(网卡,可以用ip a查看,有ip那个才是),-t(欺骗目标),-r(目标网关)之后在目标机点击继续访问,就劫持成功了,可以在connect.log查看访问信息,在test/logdir可查看传输数据。可以看见,成功进行arp欺骗,并且用sslsplit劫持访问信息和传输数据。拦截目标机流量,先看看目标机网关。
2022-08-23 18:45:58
583
原创 第一周 sqlwp
再用截取字符串的函数去看其他的就行,但是常用的一些截取函数都被过滤了,看wp发现说是reverse函数来搞,1"||updatexml(1,concat(0x7e,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp'^f'))),1)#该语句看表admin,再看字段是password,那就可以直接看字段,因为没有其他字段,只有这一个,最后找到密码,是md5加密的,去网站解一下,..
2022-07-24 17:35:03
187
原创 [MRCTF2020]Ezpop
一个反序列化题目,从上往下看,__invoke()是要以函数的方式调用对象触发,而__get()里面的$function()就是这样的,$function=$this->p,而__get()是需要从不可访问的属性读取数据,$this->str->source,str下面是没有source这个的,所以不可访问,触发__get(),而$this->str->source有需要触发__toString(),__toString()当一个对象被当作一个字符串被调用,而当做字符串在if(preg_match("/go
2022-06-15 19:55:21
79
原创 [NPUCTF2020]ReadlezPHP
看一下源码 发现一个./time.php/source,看一下 看来是反序列化传入上面这个序列化之后的命令,还是显示时间,那应该是把system过滤了,那就换一种, 什么都没有,用find也找不到,看wp,发现是在phpinfo里,...
2022-06-15 18:19:32
169
原创 [SWPU2019]Web1
在这里试了半天sql注入没有什么,sqlmap也没有,那就注册一个账号试试, 里面有一个广告申请,试一试这里有没有sql注入, 我写空格进去被替换为空了,那就绕过一下空格 输入#之后说有敏感词汇,那就是过滤了,那就用'来把后面的给闭合,在我试到1,2,3,4,5,6之后还是说列数不同,我不想试了,就去看wp有几列,直接就是下一条,22列,这个作者是可以的, 2,3可以回显 当前数据库为web1,之后看表时发现information_schema表被过滤了,这里不会了,看wp发现可以用mysql.innodb
2022-06-15 17:34:47
877
1
原创 [BJDCTF2020]Mark loves cat
什么都找不到,扫一下目录发现.git,用githack下下来,有一个post和get的变量覆盖漏洞,开始不知道怎么搞,看了wp,说一下原理,exit也是一种输出,可以利用变量覆盖来把exit里面的变量变成flag变量,用get方式来传handsome=flag&flag=handsome在foreach($_GET as $x => $y){ $$x = $$y;}里$handsome=$flag&$flag=$handsome然后foreach($_GET as $x => $y){
2022-06-13 20:15:33
139
原创 [GXYCTF2019]禁止套娃
开始什么都找不到,那就扫一下目录看看,发现一个.git,那就用githack把它下下来,第一个if过滤了伪协议,第二个不懂,看了说是(?R)?,把前面那个(和后面那个)递归,形成a(b(c()))这样子的可以通过,最后把一些函数给过滤了。这题考的是无参数rce,这个看懂了就会做了。函数返回一包含本地数字及货币格式信息的数组,数组第一个值是 .current()返回数组中的当前单元, 默认取第一个值,这样就把第一个值 . ,给取出来了然后scandir返回指定目录中的文件和目录的数组,. 表示当前目录最后用v
2022-06-13 17:20:40
89
原创 [BSidesCF 2020]Had a bad day(php://filter伪协议嵌套)
进来让我选一个,那就选一个发现url有一个参数,点击两个页面,值不同,怀疑是两个不停的文件,试一试index应该是直接在值后面自动加了个后缀名,随便输入,说不包含,那应该就是文件包含,看一看能不能读取index.php的源码php://filter/read=convert.base64-encode/resource=index用get的方式传一个参数,看这个参数里有没有woofers,meowers,index有就包含,并在最后加php后缀,也就是说要达到包...
2022-05-30 19:10:14
376
原创 [网鼎杯 2020 朱雀组]phpweb
看它一直在相同的时间刷新,那就抓包看看一个date,还有参数,应该是在func上选择函数,p选择函数参数,试一试file_get_contents函数,p上输入index.php。<?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","e...
2022-05-30 18:40:10
72
原创 [SUCTF 2019]CheckIn
一个文件上传的题目,直接上传php文件试试,发现被过滤了然后再上传一个把后缀名改为png的一句话发现不能右?,那就用无<?的一句话<script language="php">eval($_GET['cmd']);</script>再次上传png后缀的一句话,提示exif_imagetype,这个函数是获取文件的第一个字节,来确定文件是什么类型,那就直接再文件的开头加一个GIF89a来绕过上传成功,但是无法解析内容,试了试上传.htacc...
2022-05-26 16:17:32
1338
原创 [CISCN2019 华北赛区 Day2 Web1]Hack World
上来直接给表和列,还有一个id的参数,随便试一试Hello, glzjin wants a girlfriend. 输入1时Do you want to be my girlfriend? 输入2时Error Occured When Fetch Result. 输入其他数字则是这个bool(false) 输入字母则是这个...
2022-05-26 15:42:38
137
原创 [极客大挑战 2019]HardSQL
fuzz了一下,还是有很多没有过滤的加了一个',发现报错,是单引号注入,这里fuzz中发现空格被过滤了,还有%0a之类的也被过滤了,这里学到了一个用()来代替空格,在需要空格的那个地方使用()来包裹/check.php?username=admin&password=admin'or(extractvalue(1,concat(0x7e,(select(database())))))%23因为=也被过滤了,所以可以用like或着regexp来匹配table.schema之类的后面...
2022-05-26 08:29:38
99
原创 ctfshow web4
提示日志注入,文件包含;还有一个get方式的参数url,有nginx,那就试试它的默认日志目录 日志默认路径:(1) apache+Linux 日志默认路径/etc/httpd/logs/access_log/var/log/httpd/access_log(2) apache+win2003 日志默认路径D:\xampp\apache\l...
2022-05-09 19:19:57
1572
原创 [HCTF 2018]WarmUp
什么都没有,看一下源码有一个source.php,看一下 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! is..
2022-04-13 20:56:46
226
原创 [BJDCTF2020]ZJCTF,不过如此
get方式传了一个text和file参数,判断text有没有以及text的值要等于Ihaveadream,上面成立就输出text的字符串file_get_contents(读取的文件,) 函数是用于将文件的内容读入到一个字符串中的首选方法。遇到这个就用php://input, post部分用等号右边的字符串。然后再过滤file参数,不允许有flag,如果没有就包含file参数,后面还提示next.php显然在tetx参数中用php://input协议,post中Ihaveadre...
2022-04-13 20:17:09
810
原创 bugku 文件包含2
页面很正常,url里面有一个file参数,看一下源码有一个upload.php看一下文件上传,题目是文件包含,就想到了前面做的的上传图片马,用文件包含连接,试一试不知到哪里出问题了,看一下上传的内容<?和?>被换成了_,那就试一试没有<>?的一句话,<script language=php>eval($_POST['shell']);</script>再做一个图片马上传这题就是文件包含和文件上传的合作...
2022-04-12 19:18:51
2387
原创 [GXYCTF2019]BabyUpload
直接上传一个php试试后缀名不能有ph,那就bp抓包改一下试试,似乎是判断Content-Type,改一下试试还是说太露骨,改成其他类型试试他说还是php的标志,php的标志明显的有文件头,但是我加了GIF819a,所以肯定不是,那就是?,<>,;,以及php,那就试一试没有<?的一句话,不带<?的一句话:GIF89a<script language="php">eval($_POST[sb])</script> ...
2022-04-09 17:05:46
840
原创 bugku No one knows regex better than me
error_reporting(0)表示不报告错误然后用$_REQUEST传zero和first,second等于zero.firstsecond要包括/Yeedo|wants|a|girl|friend|or|a|flag/里面的一个,不分大小写。key等于second等于zero.firstkey不能有..或flagthird等于first前面三个数字是八进制,最后一个数字是十六进制\nml,如果 n 为八进制数字 (0-3),且 m 和 l 均为八进制数字 (0-7),..
2022-03-29 20:32:57
351
原创 bugku 一段Base64
题目是一大段base64,先解一下看来一下不知道是什么类型的,百度一下发现(参考)那就用Converter这个工具,连续三次unescape,刚开始把输出的内容全部复制到输入,发现不对,要不字母和括号去掉。String.fromCharCode是JavaScript的函数,可接受一个指定的 Unicode 值,然后返回一个字符串。现在括号里的就是十进制,把它转为文本看看发现&#x看了一下Converter发现由html的解码,而html是支持unico...
2022-03-28 14:23:00
986
4
原创 buuctf [WUSTCTF2020]dp_leaking_1s_very_d@angerous
文件下载下来,把后缀名改为txt,发现是一个已知e,n,c,dp的rsa题那就用python写一个来解#已知e,n,dp,c#dp × e= x × (p−1)+1#dp < p−1#x < e #x ∈ ( 0 , e )#p-1=(e*dp-1)/ximport gmpy2e = 65537n = 1568083435985787749573756968151889806821667406093028310996964920682463371987925108
2022-03-23 12:30:12
300
原创 buuctf RSA1
是已知dp,dq类型的,dp=d mod (p-1) dq=d mod (q-1) #取余Iq=1 mod p #逆元m1=c^dp%pm2=c^dq%qm=(((m1-m2)*I)%p)*q+m2依据这个写得出p = 863763376725700856709965348654109117132049150943361544753916243791124417588566780639841179052408355344515811350222774520620532769..
2022-03-23 10:34:18
198
原创 一些简单密码题
base16base32base64base16之中有ABCDEF以及0到9,也就是十六进制。base32有A~Z,234567,最多有六个=。base64有A~Z,a~z,0~9,+,/,最多两个=。jsfuckjsfuck,有[],(),!,+,将JavaScript进行编码。RSA(参考)rsa是用接收者的公钥加密,私钥解密;公钥可以公开,只有私钥不泄露就算被截获也不会暴露内容 。公钥为(n,e),私钥为(n,d)φ(...
2022-03-22 09:51:15
555
原创 bugku login1
题目提示sql约束,就去查了一些这个,发现是再注册时,insert会对长度做限制,而select查询是则没有对长度做限制,所以可以注册admin加上一些空格来让select查询时不与admin重复,从而在被insert删去后面的空格使之与原本的admin一样而登录,进而进行其他的操作。在admin后面多加几个空格参考...
2022-03-21 10:15:54
211
原创 buuctf [MRCTF2020]Ez_bypass
id和gg的md5强比较相等,id和gg的值弱比较不相等,password不是数字并且与1234567弱比较相等,由此构建id[]=1&gg[]=2 passwd=1234567q flag{7038d50b-bff2-432d-85bc-eefe852120cc}
2022-03-20 09:37:33
416
原创 buuctf [GYCTF2020]Blacklist
可以看出是单引号注入,试一试union发现被过滤了,那就试试堆叠注入看数据库看表看FlagHere表的列HANDLER ... OPEN语句打开一个表,使其可以使用后续HANDLER ... READ语句访问,该表对象未被其他会话共享,并且在会话调用HANDLER ... CLOSE或会话终止之前不会关闭由此构建1';handler FlagHere open;handler FlagHere read first;handler close;#flag{da...
2022-03-20 09:27:23
88
原创 buuctf [极客大挑战 2019]BuyFlag
打开什么也没发现,那就ctrl+u看一下,发现一个pay.phpctrl+u看一下这里看出来需要money=100000000&password=404,因为password是==比较,所以在404之后价格字符即可,把user改为1,又说数字太长,那就用科学计数法flag{a5bb2006-8885-413b-832b-52bf8fe6d123}...
2022-03-20 08:49:26
65
原创 buuctf [ACTF2020 新生赛]Exec
先来给ls,发现没什么。那就加个 /发现flag文件,cat一下flag{5439f986-7512-440d-82d2-dd84f1d0e824}
2022-03-19 09:50:10
150
原创 buuctf [ACTF2020 新生赛]BackupFile
常见的备份文件后缀名“.git” 、“.svn”、“ .swp” “.~”、“.bak”、“.bash_history”、“.bkf”因为题目名叫备份文件,而且他让我找出源文件,所以用dirsearch扫一下,发现一个bak文件key不为空,key要是数字,并且取整,key与str弱比较相等,所以key=123flag{12428c09-74be-4255-9a01-2022156165c3}...
2022-03-17 09:30:52
411
原创 bugku Flask_FileUpload
进去是上传一个文件,ctrl+u看一下只允许上传jpg和png文件,提示说上传的文件会一python执行,那就构建一个名为4.jpg的文件,内容为import osos.system('cat /flag')os.system用来执行cmd指令,在cmd输出的内容会直接在控制台输出flag{6d8855f8728b8b233cd51d3f792fbd53}...
2022-03-16 10:47:50
1118
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人