- 博客(42)
- 收藏
- 关注
RSS订阅
原创 Bugku web Writeup
靶场链接:https://ctf.bugku.com/index.html文章目录前言一、web2 随机数字运算验证码二、web3 $_GET三、web4 $_post四、web5 矛盾 0x01知识点 0x02实践五、web6 flag就在这里六、web7 你必须让他停下七、web11 webshell八、web12 本地管理员九、web8 文件包含 0x01知识点
2021-02-25 14:59:35
377
原创 upload-labs第五关 pass-05 大小写绕过
六、pass-05 大小写绕过源码:$is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html"
2021-02-26 20:25:19
1920
4
原创 upload-labs第四关 pass-04 htaccess绕过
五、pass-04 htaccess绕过源码:$is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".p
2021-02-26 20:18:11
4549
原创 upload-labs第三关 pass-03 黑名单绕过
四、pass-03 黑名单绕过提示:本pass禁止上传.asp|.aspx|.php|.jsp后缀文件!源码:$is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { $deny_ext = array('.asp','.aspx','.php','.jsp'); $file_name = trim($_FILES['uploa
2021-02-26 20:17:30
3522
原创 upload-labs第二关 pass-02 只验证Content-type
三、pass-02 只验证Content-type源码:$is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['
2021-02-26 20:16:32
711
原创 upload-labs第一关 pass-01 js检查
二、pass-01 js检查尝试上传1.php限制了上传类型,将1.php后缀改为1.jpg,BP抓包,修改后缀.jpg为.php绕过,再次上传:上传成功并发现地址
2021-02-26 20:15:30
163
原创 文件上传漏洞靶场:upload-labs安装
文件上传漏洞靶场:upload-labs安装一、安装phpstudy下载地址:https://www.xp.cn/download.htmlupload-labs下载地址:https://github.com/Tj1ngwe1/upload-labs以windows下phpstudy2018为例:下载upload-labs后,解压,将文件名改为upload-labs,然后放入WWW目录下。然后在浏览器中输入:http://127.0.0.1/upload-labs/即可...
2021-02-26 15:11:54
838
原创 DVWA Brute Force(暴力破解)通关
文章目录前言0x01、Low Security Level0x02、Medium Security Level前言提示:这里可以添加本文要记录的大概内容:例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。提示:以下是本篇文章正文内容,下面案例可供参考0x01、Low Security Levelview source查看源码:<?phpif( isset( $_GET[ 'Login' ] ) ) {
2021-02-25 15:22:57
257
转载 DVWA环境搭建
DVWA环境搭建安装环境:win7安装phpstudy1.下载安装phpstudy百度搜索phpstudy,在官网上下载链接: https://www.xp.cn/.这里下载的是phpstudy2018版下载之后选择安装地址,按照默认选项安装即可。下载完成之后开启服务,点击下图启动。访问本地:http:127.0.0.1看是否能正常运行。正常打开如下图。上述过程完成,phpstudy安装完成。在“其他选项菜单”中,点击phpMyAdmin,在浏览器中打开phpMyAdmin,登录
2021-02-25 14:57:26
218
原创 Bugku web35 点了login没反应
三十二、web35 点了login没反应查看源码,发现一个admin.css,访问提示传参?6529,访问:得到如下代码:<?phperror_reporting(0);$KEY='ctf.bugku.com';include_once("flag.php");$cookie = $_COOKIE['BUGKU'];if(isset($_GET['6529'])){ show_source(__FILE__);}elseif (unserialize($cookie
2021-02-24 14:52:56
270
1
原创 Bugku web31 好像需要管理员
三十一、web31 好像需要管理员御剑扫描一下后台,发现robots.txt,访问提示/resusl.php,继续访问,发现要传入一个参数x,并且x的值是要等于password,采用burp爆破得到密码是admin,其实题目好像需要管理员,这里就可以猜到x=admin...
2021-02-24 14:52:21
444
原创 Bugku web34 文件包含
二十九、web34 文件包含点进去查看源码:发现upload.php,访问,可以上传图片将以下代码写入记事本,后缀改为.jpg,上传<script language=php>system("find / -name flag*");</script>上传成功,访问上传的图片,看到/flag文件访问/flag文件得到flag...
2021-02-24 14:51:43
222
原创 Bugku web30 txt???
二十八、web30 txt???<?phpextract($_GET);if (!empty($ac)){$f = trim(file_get_contents($fn));//file_get_contents() 将整个文件返回一个字符串if ($ac === $f){echo "<p>This is flag:" ." $flag</p>";}else{echo "<p>sorry!</p>";}}?>访问
2021-02-24 14:51:09
120
原创 Bugku web29 各种绕过
二十七、web29 各种绕过<?phphighlight_file('flag.php');$_GET['id'] = urldecode($_GET['id']);$flag = 'flag{xxxxxxxxxxxxxxxxxx}';if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['uname'] == $_POST['passwd']) print 'passwd can no
2021-02-24 14:50:37
193
原创 Bugku web27 md5 collision
二十五、web27 md5 collisiona是以get方式提交的,随便找一个0e开头的,构造url即可得到flag
2021-02-24 14:50:02
100
原创 Bugku web25 are you from google?
二十四、web25 are you from google?burp伪造请求头即可
2021-02-24 14:49:17
232
原创 Bugku web25 SQL约束攻击
二十三、web25 SQL约束攻击hint:sql约束攻击约束SQL注入的原理就是利用的约束条件,比如最长只能有15个字符的话,如果你输入的是abcdefghijklmnop(16位),那么保存在数据库里的就是abcdefghijklmno,那么别人用abcdefghijklmno注册一个用户名,就可以登陆。还有一个可以利用的地方就是SQL在执行字符串处理的时候是会自动修剪掉尾部的空白符的,也就是说" abc"==" abc “,同样我们可以通过注册用户名为” abc “的账号来登陆” abc
2021-02-24 14:48:38
201
原创 Bugku web24 前女友
二十二、web24 前女友F12看下源码,有一个指向cdoe.txt的链接访问code.txt,得到如下代码:<?phpif(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){ $v1 = $_GET['v1']; $v2 = $_GET['v2']; $v3 = $_GET['v3']; if($v1 != $v2 && md5($
2021-02-24 14:48:02
187
原创 Bugku web23 字符?正则?
二十一、web23 字符?正则?<?php highlight_file('2.php');$key='flag{********************************}';$IM= preg_match("/key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i", trim($_GET["id"]), $match);if( $IM ){ die('key is: '.$key);}preg_match("/key.*key
2021-02-24 14:47:12
116
原创 Bugku web17 学生成绩查询
十九、web17 学生成绩查询id=1时,可以查询到成绩 id=1’ 为空id=1’ and 1=1 # 与 id=1’ and 1=2 #结果不同,由此判读可能存在sql注入1、尝试获取列数id=1’ order by 4 #,正常回显, id=1’ order by 5 #,异常,由此判断有4列2、union联合查询id=-1’ union select 1,2,3,4#,正常显示,说明存在这四列数据3、爆库名、用户和版本id=-1’ union select 1234,da
2021-02-23 10:36:36
227
原创 Bugku web22 过狗一句话
十八、web22 过狗一句话本题:php scandir()函数、assert代码执行漏洞<?php $poc="a#s#s#e#r#t"; $poc_1=explode("#",$poc); //explode("#",$poc);将$poc以#为分界符号分为数组 $poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5]; // 这句就相当于$poc_2=assert $poc_2($
2021-02-23 10:35:54
159
原创 Bugku web21 never give up
十七、web21 never give upview-source:http://114.67.246.176:15306/1p.html<script>window.location.href='http://www.bugku.com';</script> <!--JTIyJTNCaWYoISUyNF9HRVQlNUInaWQnJTVEKSUwQSU3QiUwQSUwOWhlYWRlcignTG9jYXRpb24lM0ElMjBoZWxsby5waHAlM0ZpZCU
2021-02-23 10:35:07
271
原创 Bugku web20 Cookies欺骗
十六、web20 Cookies欺骗这道题url很有意思,文件名是经过base64编码的,解码a2v…后是keys.txt,尝试输出keys.txt的第10行,没有输出。。fine,题目给的一串字符串应该是keys.txt里的,具体多少行就不知道了。试下输出index.php的第10行(为什么是第10行呢,我随便输的hhh)记得将index.php编码/index.php?line=10&filename=aW5kZXgucGhw //index.php base64编码=aW5kZXgucG
2021-02-23 10:33:59
261
原创 Bugku web16 备份是个好习惯
十五、web16 备份是个好习惯常用备份文件后缀:.swp,.bak御剑扫描,发现index.php.bak文件,下载下来<?php/** * Created by PhpStorm. * User: Norse * Date: 2017/8/6 * Time: 20:22*/include_once "flag.php"; //包含flag.phpini_set("display_errors", 0);$str = strstr($_SERVER['REQUEST_URI
2021-02-23 10:33:21
1800
1
原创 Bugku web15 好像需要密码
十四、web15 好像需要密码点进去一看,要爆破5位数的密码,直接上burp用burp自带的字典,这样设置之后,提示payload=0。其实这里是一个burp的bug,直接这样选择payload无法生成加载出来。我们先点击Hex,再点击回Decimal就好了爆出来密码是12468,输入密码即可得flag...
2021-02-23 10:32:49
732
原创 Bugku web14 flag在index里
十三、web14 flag在index里文件包含漏洞+php伪协议php://filter 该伪协议可以读取php文件代码以base64编码输出,比如说我们想读取一个php文件但是不想让它正常php执行代码后的结果,我们想要这个php文件的代码的时候就可以使用这个伪协议。使用方法:php://filter/read=convert.base64-encode/resource=需要读取源码的文件名① file=php://filter/read=convert.base64-encode/r
2021-02-23 10:32:07
175
原创 Bugku web13 看看源代码
十二、web13 看看源代码随便输入一个1,submit,提示再好好看看,查看源代码发现一串奇怪的js代码,猜测url编码,url解码后:var p1 = 'function checkSubmit(){var a=document.getElementById("password");if("undefined"!=typeof a){if("67d709b2b';var p2 = 'aa648cf6e87a7114f1"==a.value)return!0;alert("Error");a
2021-02-23 10:31:27
458
原创 Bugku web10 头等舱
十一、web10 头等舱好家伙,果然什么都没有。查看源代码,也什么都没有。既然是头等舱,那就看看“头”,在network里查看header,浏览即发现flag
2021-02-23 10:30:49
182
原创 Centos6.5 忘记密码
Centos6.5 忘记密码,重置密码1.在进入系统前,在引导界面按下enter键,进入以下界面:2、ctrl+alt唤出鼠标 输一个e编辑内核改密码,选择第二行,输e3、输1,进入单用户模式4、输b,进入以下界面,输passwd,更改密码密码更新成功,输入init 6进行重启...
2021-02-23 10:27:47
482
原创 Bugku web9 全局变量中的flag
十、web9 全局变量中的flagflag In the variable ! <?php error_reporting(0); //关闭所有php报错include "flag1.php"; //包含flag1.php文件代码highlight_file(__file__);if(isset($_GET['args'])){ //get方式传递args变量执行if里面的代码 $args = $_GET['args']; if(!preg_match("/^\w
2021-02-22 10:30:25
310
原创 Bugku web8 文件包含
九、web8 文件包含<?php include "flag.php"; //flag在flag.php里 $a = @$_REQUEST['hello']; eval( "var_dump($a);"); show_source(__FILE__);?> 0x01知识点$_REQUEST[]支持det、post两种方式发送过来的请求,很明显接收了hello参数的值var_dump()函数 显示关于一个或
2021-02-22 10:29:29
544
1
原创 Bugku web12 本地管理员
八、web12 本地管理员打开发现有一串nnn,看下源码发现一串被注释掉的字符串,猜测base64编码,解码后是test123,应该是密码。尝试用admin/test123登陆,IP被禁了应该就不是爆用户名和密码的问题了又题目描述本地管理员,联系本地管理员登陆,burp抓包伪造XFF头go一下就得到flag啦...
2021-02-22 10:28:39
1389
原创 Bugku web11 webshell
七、web11 webshell御剑扫描发现一个shell.php,burp爆破使用burp自带的字典就行,爆出密码即可得flag
2021-02-22 10:27:53
174
原创 Bugku web7 你必须让他停下
六、web7 你必须让他停下启动场景,页面一直刷新,图片也显示不出来,看了人家的wp,打开burp,抓包,发送到repeter,go3次左右flag就会出来
2021-02-22 10:27:16
397
原创 Bugku web6 flag就在这里
五、web6 flag就在这里启动场景,一直点击确定,发现页面只会有两个弹框,F12查看源码,发现一串奇怪的字符,猜测是unicode编码,扔到转换器,解出flag
2021-02-22 10:26:38
450
原创 Bugku web5 矛盾
四、web5 矛盾$num=$_GET['num']; //获取参数numif(!is_numeric($num))// 如果num不是数字{echo $num;if($num==1) //如果num是数字1echo 'flag{**********}'; //打印flag} 0x01知识点- is_numeric()函数判断参数是否为数字的函数很明显题目中要打印出flag,要参数num不是数字,但是要为1,很矛盾第二个if判断语句
2021-02-22 10:25:28
408
原创 Bugku web4 $_post
三、web4 $_post$what=$_POST['what']; //接受post过来的参数what,存到what里echo $what; //打印if($what=='flag') //如果值是flagecho 'flag{****}';// 打印flag直接用hackbar(注意:复制flag容易多复制一个空格)...
2021-02-22 10:22:35
641
原创 Bugku web3 $_GET
二、web3 $_GET$what=$_GET['what'];//读取参数what,把值存到变量what里echo $what; //输出if($what=='flag')//如果值是flagecho 'flag{****}';//打印flag这道题就是让我们通过url传入what的值,让其等于flag,构造urlpayload:?what=flagflag不是打印出来的一长串,真的flag是flag{1c…}...
2021-02-22 10:21:42
162
原创 Bugku web2 随机数字运算验证码
一、web2 随机数字运算验证码尝试输入答案,只能输一位进去,猜测有长度限制,F12打开看源码,果然改一下maxlength再输入答案即可得到flag
2021-02-22 10:20:27
249
原创 封神台-尤里的复仇Ⅰ
封神台-尤里的复仇Ⅰ提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加例如:第一章 Python 机器学习入门之pandas的使用提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录封神台-尤里的复仇Ⅰ前言一、为了女神小芳二、1.引入库2.读入数据三、四、为了更多的权限!留言板!五、六、七、八、九、总结前言提示:这里可以添加本文要记录的大概内容:例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的
2021-02-20 11:48:39
640
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人