ctfweb
young9222
这个作者很懒,什么都没留下…
展开
-
利用正则回溯最大次数上限进行绕过
源码: <?php function is_php($data){ return preg_match('/<\?.*[(`;?>].*/is', $data); } if(empty($_FILES)) { die(show_source(__FILE__)); } $user_dir = 'data/' . md5($_SERVER...原创 2019-04-04 08:23:26 · 1580 阅读 · 0 评论 -
FUN SSRF
2019年4月9日19:20:11URL: http://web.jarvisoj.com:32782/一,试探上来就看源代码,看有没有提示:注意第7行,有一个url跳转,但是暂时还不知道怎么用接着点击第9行"admin",看到/admin网页源代码:注意第9行,提示admin的ip是202.5.19.128接着去这个网站上逛了一下,没发现什么猜测题意想要我们用admin的ip...原创 2019-04-09 20:54:49 · 285 阅读 · 0 评论 -
有趣的布尔盲注
2019年4月9日17:17:49URL: http://123.206.87.240:8007/web2/一,试探主页只有一个登陆框,和几个没有链接的导航。打眼看起来像是sql注入题目。随手测试一下,用户名,密码不能为空,而且用户名不正确会弹窗:所以是需要用户名的,测试一下admin,果然有区别:所以猜测考点是要靠sqli获得admin的密码。二,深入既然猜到考点是sqli...原创 2019-05-16 15:22:07 · 299 阅读 · 1 评论 -
利用Opcache缓存RCE以及"/."trick
2019年3月21日10:20:01今天对于昨天的《PHP代码审计练习》中第三题"php/."有了新的理解,我使用的方法其实是非预期解,正解是利用opcache覆盖index.php,而不是利用php底层问题来覆盖index.php...原创 2019-04-04 08:29:26 · 611 阅读 · 0 评论 -
HPP结合PHP解析URL特性的SQL注入题目
看到URL中有:index.php?file=CN要有利用伪协议的思路:php://filter/read=convert.base64-encode/resource=index再结合dirbuster扫描后台得出waf,function,index,config,global,content多个php,了解了该网站的WAF策略: #function.php <?php in...原创 2019-04-03 16:13:48 · 581 阅读 · 0 评论 -
PHP Shell Wiith Functions Without Parameters
2019年3月20日09:01:35一, phpshell1二, phpshell2三, php/.四, 利用正则回溯绕过五, 伪协议利用 一,php shell11. 源码: <?php show_source(__FILE__); function SafeFilter (&$arr) { if (is_array($arr)) { ...原创 2019-04-04 08:11:56 · 218 阅读 · 0 评论 -
简单的三道Sqli习题
简单的三道Sqli习题2019年3月14日14:35:27Q1. Login as admin 0Q2. Login as admin 1Q3. 学生成绩查询一、Login as admin 0URL:https://hackme.inndy.tw/login0/本题只有一个登陆页面,并且可以查看源码,源码中把过滤方法和sql语句以及表的字段都告诉了我们:过滤:functio...原创 2019-04-03 16:02:19 · 458 阅读 · 0 评论 -
PythonServer-Flask-Pin码攻击
一道有关Flask开启DEBUG结合任意文件读取生成PIN码攻击的题目。可惜没有及时截图,现在只剩下文字了,凑合记录一下。正常注册用户,登陆用户,查看源代码发现在打开图片时,图片名由base64编码利用其解析base64的漏洞,进行目录穿越,例如对“…/…/…/…/etc/passwd"进行base64编码后查看响应包获得文件内容由于存在文件读取漏洞,所以可以依次读取: u...原创 2019-04-03 15:57:27 · 2270 阅读 · 0 评论 -
PythonServer-Flask decode token
2019年3月7日11:18:30注册账户测试发现有admin,后登陆发现发现有上传页面,但提示说管理员才可以上传tar包通过在修改密码页面填写‘admin’,在响应cookie里找到admin的session,运用python3的解密脚本解出token,即可成功修改密码构造带有软链接文件的tar包 ln -s /etc/passwd 1.jpg tar -cf 1.tar ...原创 2019-04-03 15:39:10 · 241 阅读 · 0 评论 -
安恒周周练西湖论剑版web美男子题:巧用group by with rollup
安恒周周练西湖论剑版web美男子题:巧用group by with rollup2019年4月8日15:49:30###源码:###<?phpinclude ‘global.php’; function AttackFilter($StrKey,$StrValue,$ArrReq){ if(is_array($StrValue)) { $S...原创 2019-04-08 16:23:01 · 2667 阅读 · 0 评论 -
一道结合了mysql字符集collation,heavy query,blind xxe的综合题目
一道结合了mysql字符集collation,heavy query,blind xxe的综合题目2019年4月8日11:07:51###一,mysql字符集collation###REFERENCE:mysql字符集与比对方法collationCollation chart for utf8_general_ci, European alphabets (MySQL 6.0.4)...原创 2019-04-08 14:36:26 · 316 阅读 · 0 评论 -
N1CTF web eatcms
Do it!对服务器后台扫描发现有注册,登陆等等界面,注册好账号后登陆发现url中有page=guest于是尝试使用php://filter/read=convert.base64-encode/resource=index查看源代码,发现顺藤摸瓜可获得index.php,function.php,config.php的源码其中function.php中有对重定向的源码: function ...原创 2019-04-04 09:00:20 · 528 阅读 · 0 评论 -
利用文件操作函数结合PHP伪协议RCE
获得源码:http://ip:port/?read-source=1 <?php if(isset($_GET['read-source'])) { exit(show_source(__FILE__)); } define('DATA_DIR', dirname(__FILE__) . '/data/' . md5($_SERVER['REMOTE_ADDR']));...原创 2019-04-04 08:25:38 · 1155 阅读 · 0 评论