- 博客(27)
- 收藏
- 关注
RSS订阅原创 CTFSHOW web 入门 web347,348
使用默认字典爆破key得到秘钥为123456。复制过去在访问/admin/目录得到flag。题目也说了是弱口令秘钥,那么尝试爆破一下。将cookie复制到工具中,进行解密。这里要先把user改成admin。这个key是弱口令所以能爆破。这个需要爆破key了。
2024-09-29 17:32:40
108
原创 CTFSHOW web入门346
有几个点要注意,在传值的时候如果.前面有等于号=的话要去掉,然后这题我把加密算法改成了none,所以第三部分可以直接去掉。同样是抓包将cookie拿下来分析用"."分开。这里不同的是要将加密算法HS256改成none。这个相比于345就有了第三部分签名了。
2024-09-29 16:59:57
223
原创 CTFSHOW web入门 web345
正常来说一个jwt是有三个部分的:标头(Header)、有效载荷(Payload)和签名(Signature)但是这个是最简单的jwt,都没有签名,那么我们可以直接构造了。将拿到的jwt按照.分开,并将上面的一段进行base64解密。这里要注意的是最后要加上".",要不然会得不到flag。由于环境问题,这个加密算法要改成HS256。将user改成admin并base64加密。然后将后面一部分进行base64解密。访问admin路径得到flag。
2024-09-29 16:48:54
194
原创 关于session反序列化的个人理解
PHP session`可以看做是一个特殊的变量,且该变量是用于存储关于用户会话的信息,或者更改用户会话的设置,需要注意的是,`PHP Session` 变量存储单一用户的信息,并且对于应用程序中的所有页面都是可用的,且其对应的具体 `session` 值会存储于服务器端,这也是与 `cookie`的主要区别,所以`seesion` 的安全性相对较高。`session` 为`$_SESSION['session']`的键名,`|`后为传入 GET 参数经过序列化后的值。
2024-09-25 22:13:53
753
原创 关于php反序列化字符串逃逸减少的个人理解
一个php替换一个hk,需要被吃掉的";s:4:"pass";s:17:"长度为19,所以给user赋值为phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp。需要吞掉的字符有";s:4:"pass";s:17:" 19个字符。由于一次吞一个字符,那么吞19个字符需要我们输入19个php。所以给pass赋值为";s:3:"vip";这里需要构造的是";s:3:"vip";s:3:"vip";其中字符1和字符2是我们可控的,
2024-09-20 20:12:02
409
原创 关于php反序列化字符串逃逸增多的个人理解
然后我们看题目条件$profile->pass == 'escaping'明显跟我们原来的值daydream不一样,所以我们要将多出去的这部分逃逸掉。}'一共是29个字符,所以需要29个php来代替。如此之后,我们就可以构造自己想要的字符了s:4:"pass";if ($profile->pass == 'escaping') { //目标。这是一个字符串逃逸增多的例题,php替换成hack,就说明每次替换就会多一个字符。我们能控制的是什么呢,是这个user的值111。
2024-09-20 19:17:07
376
原创 [HGAME 2023 week1]Classic Childhood Game
最终在function mota()方法看到了疑似flag的数据。一个个看过来,最终在/Res/Events.js发现了点东西。根据题目描述发现是个前端小游戏,那么肯定是从JS下手了。出来的一串字符疑似base编码,丢到随波逐流里面看看。这个一看就是第一关第二关第三关,慢慢往下看。
2024-09-03 11:20:54
167
原创 [FSCTF 2023]是兄弟,就来传你の!
经过试验,php,php3,php5,phtml都不能实现绕过,而pht则可以,可能是对文件后缀php进行了检测。将文件后缀改成jpg,content-type改成image/jpeg 也不能上传,说明对文件内容进行了判断。,结果使用script标签也不能实现绕过。还是无法实现绕过 这时候可以把换行符都去掉,因为换行符也占字符。GIF89a是用来绕过文件头,让系统以为是jpg文件。可以实现上传,这时候我们在对文件后缀进行绕过。猜测是检测php字符,尝试使用短标签绕过。
2024-07-13 15:10:20
198
原创 [FSCTF 2023]EZ_eval
原因是eval("?>". $word);构成了闭合,如果我们在输入php代码系统是不会识别的,会直接当成结果输出。看源码 不一样的是eval("?>". $word);我们第一要想到的是重新构造一个<?也被ban了,所以要用到script标签。而后就是正常操作了过滤了空格用%09换行符代替。flag过滤了用fla[g]代替。tac过滤了用t""ac代替。
2024-07-12 17:44:33
235
原创 [MRCTF2020]你传你呢1
传入.htaccess文件 文件内容就是红色字体 修改content-type值为image/jpeg 在发送。openresty服务器,是属于nginx的一种,于是尝试传.user.ini文件。发现是要传.htaccess文件,但是他也不是Apache服务器啊。修改后缀,修改mime值,添加文件头幻术都不能绕过。修改后缀,通过结果发现应该是黑名单过滤。再传带有一句话木马的2.jpg文件。在传入带有一句话木马的jpg文件。我就去看了是什么服务器,发现是。没头绪了,看下大佬wp。在根目录下找到flag。
2024-07-09 11:12:49
197
原创 ctfshow萌新web16
将a6f57ae38a22448c2f07f3f95f49c84e拿去MD5解密。还有一种是自己写脚本跑出来,奈何本人实力不太行出不来,等以后会了再补充。c=36d得到flag。这是有投机取巧的成分。
2024-07-08 18:27:20
192
原创 CTFSHOW萌新web14
反引号(``)相当于shell-exec 用于执行系统命令。相比于上一题过滤了括号, 可以尝试用反引号``执行命令。>是为了闭合PHP,当然也可以。这里也可以用文件包含绕过。
2024-07-08 17:55:28
244
原创 CTFSHOW 萌新web13
冒号这个过滤可以用?>来绕过,让程序运行到这里就终止,而在php中,最后一句话是不需要用分号;相比于12题 多了冒号:,点.file的匹配。
2024-07-05 23:15:43
155
原创 CTFSHOW萌新web12
0-9]用于匹配ASCIIi不在0到9之间的数,能匹配到符号.(点)相比于11题,过滤了. php和config。可以继续用passthru函数。当然这里也可以用中括号绕过。
2024-07-05 23:06:23
228
原创 CTFSHOW萌新web11
file_get_contents和show_source()也能用。相比于上一关多了个cat过滤 那么可以用tac绕过。
2024-07-05 19:00:57
116
原创 CTFSHOW 萌新10
highlight被ban了但是还可以用file_get_contents 不一样的是要加个echo。方法二 file_get_contents。加了个感叹号,上一关的所有方法都不能用了。方法一 使用passthru。用法跟system一模一样。查看源码后得到flag。
2024-07-05 18:56:07
360
原创 ctfshow萌新web9
(`highlight_file` 是 PHP 中的一个函数,它用于输出一个文件的内容,并且对文件内容中的 PHP 代码进行语法高亮显示。这第一题很简单,要求输入的参数里面有system,exec,highlight三个参数中的任意一个参数,那么payload可以构造如下。tee 1.txt:将输出复制一份并输出到终端窗口以及写入到名为2.txt的文件中。使用前要知道exec函数是无回显的函数,要让他回显可以使用tee命令。知道了flag在当前目录,且知道了文件名,所以可以构造如下。在访问5.txt路由。
2024-07-05 18:47:49
407
原创 [LitCTF 2024]百万美元的诱惑
但是这里过滤了很多,但是没有过滤$,(),~关键字符,我们可以利用这几个来完成任何数字构造。告诉了flag在12.php,所以我们只需要构造出12就好了。$(())用于命令替换和算数扩展,具体的可以看探姬师傅的。而对~0进行算术运算就得到-1 所以对~$(())echo $((~$(())))回显-1。实际上就是$((-1-1))也就是-2。外面在套一个$(())就可以得到-1。$(())用于算术运算 默认为空。echo ~$(())回显~0。echo $(())回显0。而获取-2就可以如下构造。
2024-06-22 17:28:26
355
原创 CTFshow萌新计划web3
所以构造payload如下?Or被过滤了,但是还有个管道符||可以代替or。如果看不懂的话可以直接问ChatGPT。相比于第一题多了个过滤。
2024-06-15 20:26:31
101
原创 [鹏城杯 2022]简单包含
打开环境,代码审计,通过post传导flag变量,包含传入的flag变量,又告诉了flag的位置,所以直接payload:?flag=/var/www/html/flag.php,发送。又尝试filter过滤器尝试发送也不行被过滤了,访问index.php查看源代码。有两个条件,post传入的内容小于800长度并且传入的path变量不能有flag。后面的条件不好不满足,所以只需要将字符长度达到800就行。将返回的一串base64编码进行解密操作。:PHP伪协议,文件包含,php。
2024-06-11 23:13:30
272
原创 SQL注入
id=1%df' and union select 1,2 (select group_concat(table_name)from information_schema.tables where table_schema=0x7365637572697479)--+//进行hex编码(16进制编码,0x就是16进制的标志)group_concat(table_name) from information_schema.tables where table_schema='数据库名' --+
2024-06-11 22:05:23
239
原创 [SWPUCTF 2021 新生赛]sql
wllm=-1%27/**/union/**/select/**/1,2,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name/**/like/**/%27LTLT_flag%27%23 查询LTLT_flag数据表字段。wllm=-1%27/**/union/**/select/**/1,2,3/**/%23判断回显位。空格用/**/绕过,等于号用like绕过,其他的没什么区别。
2024-06-11 22:05:06
504
原创 [SWPUCTF 2022 新生赛]funny_php
Get传导str,preg_replace函数执行正则表达式替换,在这里就是相当于把str中的NSSCTF替换为空,而str又要相等NSSCTF这里就可以进行双写绕过,输入NSSCTNSSCTFF,即可绕过。构造MD5加密后0e开头的字符串。这里可以使用科学计数法绕过,1e9就是1乘以10的9次方,2e9就是2乘以10的9次方,所以这里直接传入1e9即可绕过。不看不知道,一看吓一跳,这么多的代码,吓得我直接去看大佬的payload了,看了几眼发现我自己应该会写,事实也是如此。:弱比较,数组绕过,正则绕过。
2024-06-11 21:52:33
262
原创 [NSSCTF 2022 Spring Recruit]babyphp
Post传导a,要求a里面没有0-9的数,然后取a的整数,这第一个就把我困住了,后面我才知道如果传入数组,intval不能处理数组,会返回1,所以就传入a[]=1。这里跟第二个if语句绕过正好相反,又是字符串又是弱相等,正好可以通过碰撞的方式得出c1c2的值,要求都是0e开头的就行这样弱相等就会判断c1c2都是零。如果是弱相等的话还可以通过碰撞求出b1,b2的值,强相等的话就必须使用数组了,输入b1[]=1&b2[]=2。(这里随便注入都行。要求c1不等于c2,并且都是字符串,并且MD5加密弱相等。
2024-06-11 21:49:34
200
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人