- 博客(21)
- 收藏
- 关注
RSS订阅原创 bugku login1
得到攻击方式大概是:admin+空格+字符串+自定义密码来冒充admin账号注册,随后在登陆框用admin账号登录。尝试注册账号发现admin已有加上随意注册的账号会弹出"不是管理员还想看flag”简单测了一下没发现明显的注入点。题目提示是 sql约束攻击。点击登录得到flag。
2026-02-05 16:04:35
44
原创 bugku source
没什么信息,扫了扫目录发现/.git后缀,怀疑git源码泄露用githack扫过,两个文件都没提到真的flaggithack使用然后查了查资料发现要用kali,使用wget将整个git目录和文件下载下来wget是Linux中的一个下载文件的工具,是在Linux下开发的开放源代码的软件kali自带然后使用命令把之前的日志给找出来这条命令。
2026-01-16 20:15:37
206
原创 rce取反绕过
在php中,取反运算符~会对值的每一位进行取反 ,我们所谓的对字符串取反实际上就是对每个字符的ascll码二进制取反。则pyload: (~%8f%97%8f%96%91%99%90)();例如phpinfo();
2025-12-24 18:53:44
139
原创 异或绕过基础
目标字母 e 的 ASCII 是 0x65。所以%9A ^ %FF => e(这里%9A实际上就是0x9A。但php有一个特性 php字符串的两个字符按位异或后可以直接得到新字符。这样的绕过 这种正则只要命中一个字母或者数字就会退出。所以可以利用这种方式来绕过这种限制。我们大部分用%ff进行异或,例如。一句话 相同为0,不同为1.在一些ctf或是实战里。我们有时候能看到类似。最后附上一个异或脚本。
2025-12-23 20:34:15
211
原创 [SWPU2019]Web1 1
但是这里information_schema.tables被过滤,这里有两种绕过姿势。经过一些简单的测试可知空格 or 等被过滤了,所以这里用group来测列数。一个登录界面 这里测试了一下并没有发现sql注入点。看了其他师傅的wp知道 要用无列名注入。最终在广告信息管理中发现sql注入点。这里的闭合方式用 引号' 不然会报错。把2改成3即可得到flag。
2025-12-16 20:50:06
253
原创 无列名注入基础
可以看到这里所有的列名都变成了数字,那么接下来想要查询列的话。假设在不知道列名的情况下,我们想查询一下列的内容。这样就查询到了原来username列的数据。这里的列数是需要猜测的。这是一张table表。如果想同时查询多个列。
2025-12-15 20:07:47
185
原创 [CISCN2019 华东南赛区]Web111
smart是php的模板引擎,模板引擎的作用就是分离前端页面和数据的,题目中显示API的URL由于环境的原因无法使用,但我们的IP依旧显示在了页面的右上角,且根据它的提示XFF我们很容易想到,在X-Forwarded-For里构造ssti:payload。开始用bp抓包,然后插入X-Forwarded-For:{$smarty.version}来看一下版本。推测 Smarty 模板注入 看了wp。
2025-12-12 20:15:27
152
原创 [网鼎杯 2020 朱雀组]Nmap 1
escapeshellcmd - 把字符串中可能欺骗shell命令的字符转义, 用以保证送到system函数或者exec函数的字符串是安全的。因为转义符被转义,最后的引号便落单,逃逸了出去。这个时候,被输入的字符串不再被当成单个参数处理(不再有引号包裹), 即逃出了这两个函数。这个时候,我们把传入escapeshellarg的字符串拿过来,在经过这个函数的处理。会提示搜索内容失败,然后会写出来内容是啥,从而实现任意文件读取。可以看到,不光这些字符,转义符本身还有落单的引号也会被转义。写进去访问,连接蚁剑。
2025-12-12 18:02:28
274
原创 [WesternCTF2018]shrine1
shrine/{{url_for.__globals__}} 输出所有全局变量。存在flask-jinja2模板注入,并且存在黑名单过滤。运用Flask函数url_for()慢慢试,这里current_app。注册了一个flag的config。输入shrine/{{7*7}}有点像ssti,查看源代码。
2025-12-08 19:34:05
185
原创 [MRCTF2020]Ezpop1
属性),尝试访问不存在的 source 属性会触发 Test::__get($key) 方法,此时 $key 的值为 'source'。preg_match() 尝试将 $this->source(这是一个 Show 对象)转换为字符串,这会触发 Show::__toString() 方法。在 Show::__toString() 方法中,尝试访问 $this->str->source,其中 $this->str 是一个 Test 对象。__invoke在将对像调用为函数时触发,这里将p作为函数执行了。
2025-12-08 19:05:47
410
原创 [MRCTF2020]PYWebsite 1
尝试过后发现只加上X-Forwarded-For: 127.0.0.1就可以。是一个简单的网站,这里查看源代码获得关键信息。尝试进入flag.php。没想到改一下ip就可以了。
2025-12-05 15:23:29
111
原创 [BJDCTF2020]Cookie is so stable1
打开靶机发现三个网页,其中flag页面有一个登录框,简单测试之后尝试ssti注入。这里直接在登录框注入失败,结合题目尝试在数据包cookie中注入。这里在观摩别人wp的时候学到了一个姿势。出现结果,基本确定ssti。那这里确定是twig模块了。twig的固定pyload。
2025-12-05 15:21:48
165
原创 rce远程命令执行基础
1.什么是rce在Web应用开发中为了灵活性、简洁性等会让应用调用代码执行函数或系统命令执行函数处理,若应用对用户的输入过滤不严,容易产生远程代码执行漏洞或系统命令执行漏洞。2.常见系统命令执行函数system():能将字符串作为OS命令执行,且返回命令执行结果;exec():能将字符串作为OS命令执行,但是只返回执行结果的最后一行(约等于无回显);shell_exec():能将字符串作为OS命令执行passthru():能将字符串作为OS命令执行,只调用命令不返回任何结果,但把命令的运行结果原样输出到标准
2025-07-21 19:45:22
411
原创 sql注入之时间盲注
这篇文章主要是帮助理解注入语句,实际的做题因为繁琐大多用脚本,后续的文章中将会展示脚本及其在靶场中的用法。if函数简单举例:if(1=1,1,2)1=1是正确的所以返回1,否则返回2。时间盲注的工作原理,利用时间延迟判断SQL语句执行结果。适用场景:当页面无可见回显但存在SQL注入漏洞时。定义时间盲注及其区别于其他SQL注入攻击的特点。
2025-07-16 19:37:00
260
原创 文件上传的一些绕过
user,它会影响php.ini中的配置,从而将指定的文件内容按php来解析,影响的范围该文件所在的目录以及子目录。需要等待php.ini中的user_ini.cache_ttl设置的时间或重启Apache才能生效,且只在php5.3.0之后的版本才生效。而.htaccess 也是 Apache 的配置文件,不过相当于一个局部配置文件,只对该文件所在目录下的文件起作用,改变。对照ASCll表可知0对应的是NULL,而当一个字符串中存在空字符的时候,在被解析的时候会导致空字符后面的字符被丢弃。
2025-07-15 19:59:50
750
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人