2020年08月_Kal1

原创【杂谈】记一次主机被tn劫持的经历

起因是昨天晚上，看到了一本书上的SQL注入漏洞工具推荐，想起来前几天在i春秋靶场上用到的一个SQLI工具，叫明小子，很好用。一拍大脑，决定去下一个。众所周知，按照某度的素质和

2020-08-31 22:37:06 1856 2

原创【XCTF 攻防世界】WEB 高手进阶区 Web_python_template_injection

打开链接只有一行字提示这是python模板注入也就是说可能是jinjia2、djingo、tornado中的一个模板这里涉及到flask的ssti漏洞（服务端模板注入）。简单点说就是，在使用flask/jinja2的模板渲染函数render_template_string的同时，使用%s来替换字符串的时候，会把字符串中被{{}}包围内容当作变量解析。举个例子请求：xxxxxx.xxx/{{ 10*10 }}响应：xxxxx.xxx/{{100}} Not Found!...

2020-08-31 10:06:47 297

原创【“迎圣诞，拿大奖”活动赛题】misc 流量分析

题目链接：https://www.ichunqiu.com/battalion?t=1&r=60469下载附件，得到一个压缩包查看内容时发现一串奇怪的字符查询过后知道52617221是rar文件头将这段字符串导出，另存为rar文件发现需要密码到流量包中寻找密码这里看到几个ip地址搜索一下，并设置http过滤看到了jsfuck追踪http流复制到浏览器的控制台输入密码，解密，得到flag...

2020-08-29 09:53:27 496 2

原创【WEB】代码审计|变量覆盖漏洞

目录0x00 背景0x01 $$导致的变量覆盖问题CTF中$$导致的变量覆盖问题的例题10x02 extract()函数导致的变量覆盖问题CTF中extract()导致的变量覆盖问题的例题1CTF中extract()导致的变量覆盖问题的例题20x03 parse_str函数导致的变量覆盖问题CTF中parse_str()导致的变量覆盖问题的例题10x04 小总结0x00 背景近期在研究学习变量覆盖漏洞的问题，于是就把之前学习的和近期看到的CTF题目中有关变量覆盖的题目结合下进一步研究。通常将可以用自定

2020-08-28 22:13:20 1285

转载 @在php中的作用

@是PHP提供的错误信息屏蔽的专用符号。使用@mysql_query 不会出现Warning，而原来mysql_query 在遇到错误时会在页面上访提示Warning。

2020-08-28 13:35:54 132 1

原创【XCTF 攻防世界】WEB 高手进阶区 supersqli(三种方法)

这道题有多种方法方法一（堆叠注入+rename&alter）方法二（handler）方法三（预编译）方法一（堆叠注入+rename&alter）就是可以堆一堆sql注入进行注入，这个时候我们就不受前面语句的限制可以为所欲为了。其原理也很简单，就是将原来的语句构造完后加上分号，代表该语句结束，后面在输入的就是一个全新的sql语句了，这个时候我们使用增删查改毫无限制。相关知识补充：https://www.jianshu.com/p/c50ced83414dhttps://blog.cs

2020-08-27 18:14:19 727

原创【SQL】SQL注入漏洞及相关实验（更新中）精华！不看就亏了！

SQL注入原理：SQL注入的原理其实并不难理解，Web应用程序后台获取用户输入并将其拼接到SQL查询语句中进行执行，而这里的用户输入就是我们可以构造恶意payload的地方，通过一些技巧使得查询语句按照我们所希望的方式执行即可完成一次成功的SQL注入。正如大多数的Web漏洞一样，究其漏洞本质就是未验证用户输入，没有实现输入数据与程序执行语句的分离。但是由于存在不同的数据库（如常见的Oracle、SQL Server、Mysql等）所导致的具有微小差异性的SQL语句实现，以及我们无法直接观察到后台的查询逻辑

2020-08-26 22:37:59 1572

原创【闲谈】暴露IP地址有危险吗？可查到你下过的小电影

目录0X00 说在前面0X01 IP 怎么回事0X02 暴露IP地址有危险吗0X00 说在前面我们上网其实就在访问不同的服务器，抖音有抖音的服务器、英雄联盟有英雄联盟的服务器，你现在看到这篇文章也是因为访问了微信的服务器。但是在茫茫网络海洋中，我们怎么找到不同的设备，建立连接呢？这就是 IP 地址的作用。所有连接网络的设备都有自己独一无二的 IP 地址，就像我们在现实中的家庭住址。网站服务器就像是互联网中的公共设施，店铺等，比如百度在互联网中的地址是 202.108.22.5，当我们要访问「百度

2020-08-26 18:06:46 2894

原创【XCTF 攻防世界】WEB 高手进阶区 Cat

题目链接https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4658&page=2【说在前面】：这道题需要的知识有flask，django等知识，所以部分知识我是从其他wp看的，（相关知识仍在补充中【相关知识】：php cURL CURLOPT_SAFE_UPLOADdjango DEBUG modeDjango使用的是gbk编码，超过%7F的编码不在gbk中有意义当 CURL

2020-08-26 15:47:51 633

原创【XCTF 攻防世界】WEB 高手进阶区PHP2

题目链接：https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4820&page=1预备知识：1,什么是phps文件？phps文件就是php的源代码文件，通常用于提供给用户（访问者）查看php代码，因为用户无法直接通过Web浏览器看到php文件的内容，所以需要用phps文件代替。其实，只要不用php等已经在服务器中注册过的MIME类型为文件即可，但为了国际通用，所以才用了phps文件类

2020-08-25 11:38:28 397

原创【SQL】MySQL学习笔记（更新中）

SQL就是专门为关系型数据库而设计出来的。SQL分类.1、数据查询语言(DQL:Data Query Language): 。其语句，也称为“数据检索语句”，用以从表中获得数据，确定数据怎样在应用程序给出。保留字SELECT是DQL(也是所有SQL)用得最多的动词，其他DQL常用的保留字有WHERE,ORDERBY,GROUPBY和HAVING.这些DQL保留字常与其他类型的SQL语句–起使用。s专门用于查询数据:代表指令为select/showw2、数据操作语言(DML: Data Ma

2020-08-25 10:12:22 297

原创【2020第四届“强网杯“全国网络安全挑战赛】强网先锋 Funhash

题目链接：http://39.101.177.96/<?phpinclude 'conn.php';highlight_file("index.php");//level 1if ($_GET["hash1"] != hash("md4", $_GET["hash1"])){ die('level 1 failed');}//level 2if($_GET['hash2'] === $_GET['hash3'] || md5($_GET['hash2']) !== md5(

2020-08-24 17:01:48 1181

原创【WEB】命令注入(基础知识讲解及绕过姿势)（更新中）

通过web程序，在服务器上拼接系统命令。基础知识命令注入的条件：PHP执行系统命令的函数：&，&&，|，|| 的区别：漏洞利用服务器进行参数过滤空格代替截断符号利用base编码绕过过滤了敏感命令对比和文件上传漏洞对比和远程代码执行对比工具的使用防护白名单保护黑名单保护基础知识正常情况下，是ping一个IP地址。确定调用系统命令确定可控字段确定命令语句，&&可以连接两条Windows命令命令注入的条件：web应用程序调用可执行系统命令的函数执行系统命令的

2020-08-24 12:15:12 1416

原创 DVWA乱码问题的解决办法：

到DVWA安装目录下（…/WWW/DVWA-master/dvwa/includes）寻找文件dvwaPage.inc.php打开这个文件，然后在全文查找charset=utf-8，将所有utf-8修改为gb2312。注意：有好几处charset=utf-8，要全部修改成charset=gb2312。记得保存。接下来再使用DVWA就不会乱码啦。...

2020-08-24 11:15:38 1927

原创【第四届“强网杯”全国网络安全挑战赛】强网先锋主动

题目链接：http://39.96.23.228:10002相关知识点：此处是命令注入传递?id=127.0.0.1;ls查看使用show-source(%27flag.php%27)不成功使用cat命令，echo都不行，可能是过滤掉了flag关键词和cat命令可以使用通配符通配符是一种特殊语句，主要有星号(*)和问号(?)，用来模糊搜索文件。当查找文件夹时，可以使用它来代替一个或多个真正字符；当不知道真正字符或者懒得输入完整名字时，常常使用通配符代替一个或多个真正的字符。实际上用“*

2020-08-24 10:56:57 302

原创 dvwa搭建过程中遇到的问题和解决办法（数据库连接不上，密钥等）

此处的环境是phpstudy0.7版本把dvwa下载后压缩到www文件夹下dvwa下载我们复制一下，去掉.dist后缀更改数据如下（后面有怎么加密钥）如果出现无法连接数据库的情况（phpstudy无法打开数据库）：我这里是因为自己之前下了一个mysql把他关闭方法：数据库连不上原因：原因和allow_url_include=Off 有关的报错解决密钥：密钥生成...

2020-08-24 10:20:32 2366

原创【XCTF 攻防世界】WEB 高手进阶区 Web_php_include

目录基础题解本题相关知识点：一题多解：**php文件包含****一句话木马****data://伪协议**data://伪协议+一句话木马基础题解<?phpshow_source(__FILE__);echo $_GET['hello'];$page=$_GET['page'];while (strstr($page, "php://")) { $page=str_replace("php://", "", $page);}include($page);?>上面这段

2020-08-23 16:10:03 1645

原创常见文件魔数（幻数）总结

文件类型文件头文件尾JPGFF D8 FF E0FFD9PSD38 42 50 53

2020-08-23 07:29:20 4752

原创【XCTF 攻防世界】WEB 高手进阶区 Web_php_unserialize

题目是一段php代码<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wake

2020-08-22 23:42:25 411

原创【PHP】反序列化漏洞(又名“PHP对象注入”)

PHP对象注入（俗称反序列化漏洞）相关函数漏洞成因实现例子相关函数在利用这个漏洞之前我们要先了解相关的函数都有什么，弱点在哪里看不懂下面的不要紧后面我会慢慢解释unserialize() 对单一的已序列化的变量进行操作，将其转换回 PHP 的值。返回的是转换之后的值，可为 integer、float、string、array 或 object。如果传递的字符串不可解序列化，则返回 FALSE。与之相对的函数serialize()序列化函数。掌握语言的最好方法就是自己动手敲我们举个例子&l

2020-08-22 18:38:36 3518

原创【XCTF 攻防世界】WEB 高手进阶区 unserialize3

打开链接得到：题目提醒是反序列化漏洞这里有详细讲解反序列化漏洞：写一段代码执行<?phpclass xctf{ //类public $flag = '111';//public定义flag变量公开可见public function __wakeup(){exit('bad requests');}}//少了一个}$a=new xctf();echo(serialize($a));?>O:4:"xctf":1:{s:4:"flag";s:3:"111";}如果直

2020-08-22 18:37:48 328 1

原创【WEB】利用各种特性进行攻击（更新中）

各种特性PHP语言特性弱类型反序列化漏洞截断伪协议变量覆盖防护绕过Windows系统特性短文件名文件上传PHP语言特性弱类型PHP中比较两个值是否相等可以用 “ == ” 或者 “ === ” ，前者可以自动进行类型转换而不改变原来的值，所以存在漏洞的地方用的往往是“==”比如这里需要使两个变量值不相等而他们的MD5值相等.这样就有两个思路来解题：MD5碰撞https://0xd13a.github.io/ctfs/bkp2017/prudentialv2/两个MD5相同的不同字符串

2020-08-21 20:08:33 855

原创 misc遇到图片可以尝试的【更新中】

静态图片(png,jpg等)1，用010editor打开以text模式搜索flag2，zsteg 查看是否有lsb隐写3，Stegsolve查看文件（合并、提取）4，foremost提取文件5，已经给出文件后缀，但是打不开的时候。根据文件后缀找到对应的文件头，新建一个文件，补充上文件头6，直接右键查看属性（exif）7，tweakpng（使用场景：文件头正常却无法打开文件，使用这个工具修改CRC）8，bftoolsbftools.exe decode braincopter 要解密的文件名

2020-08-19 21:18:57 888

原创 misc遇到十六进制可以尝试的【更新中】

1，转字符串https://www.bejson.com/convert/ox2str/2，保存为16进制文件，后缀根据线索自己更改

2020-08-19 20:34:22 445

原创 misc遇到流量包可以尝试的【更新中】

搜索字符串，可以搜索flag.txt（注意选择：字符串、分组详情）和题目相关的文件，后缀，文字都可以，比如png，jpg不一定只看tcp流，也可以看下http流一定要尽可能把搜到的全部看完，不要看一半就放弃，flag可能就在后半部分...

2020-08-19 20:33:14 288

原创【2017 赛客夏令营】 Web random

题目链接：https://www.ctfhub.com/#/challenge尝试git泄露下载index.php得到：想要得到flag，需要user和pass的内容不同但是hash值相同这里用到php弱类型漏洞PHP在处理哈希字符串时，它把每一个以“0E”开头的哈希值都解释为0，所以如果两个不同的密码经过哈希以后，其哈希值都是以“0E”开头的，那么PHP将会认为他们相同，都是0。以下值在md5加密后以0E开头：QNKCDZO240610708s878926199as15596

2020-08-19 17:21:32 500

原创【XCTF 攻防世界】杂项 misc 高手进阶区 hit-the-core

知识补充：Core文件作用、设置及用法浅析Linux下core文件我们可以使用strings命令查看字符串内容strings命令打印文件中可打印的字符每隔四个小写字母就可以看到一个大写字母，刚好是ALEXCTF 照着这个规律找下去，得到flag ：ALEXCTF{K33P_7H3_g00D_w0rk_up}str='cvqAeqacLtqazEigwiXobxrCrtuiTzahfFreqc{bnjrKwgk83kgd43j85ePgb_e_rwqr7fvbmHjklo3tews_hmko

2020-08-18 14:18:42 1127

原创【XCTF 攻防世界】杂项 misc 高手进阶区 2017_Dating_in_Singapore

题目描述给出了一串字符串，复制到txt文本上，“-”肯定是分隔，每段字符通过观察又都是2的倍数，所以↓这样两两分隔开来猜测是日期在给出的pdf中画出一行对应一个月，每两位代表一个日期HITB{CTFFUN}...

2020-08-18 12:01:20 1823

原创【XCTF 攻防世界】杂项 misc 高手进阶区适合作为桌面

下载附件得到一张图片分离不出来文件使用stegslove解决扫码得到遗传十六进制字符串转换成字符串得到的是乱码那么就将其保存为16进制文件后缀为pyc然后放到http://tools.bugscaner.com/decompyle/得出代码得到flag...

2020-08-18 10:33:34 588 6

原创【XCTF 攻防世界】杂项 misc 高手进阶区 4-1

下载附件得到一张照片，用foremost分离得到了一个压缩包打开压缩包是两张照片肉眼看上去完全一样，我先用了stegsolve没有找到flag猜测是盲水印使用工具BlindWaterMark盲水印工具（到GitHub去搜）先下载需要的库pip install -r requirements.txt提取图中的盲水印 (需要原图)#python2python bwm.py decode 无水印图有水印图结果图#python3python bwmforpy3.py decod

2020-08-18 08:26:05 1264

原创【XCTF 攻防世界】杂项 misc 高手进阶区 Ditf

题目链接：https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=1&id=5562&page=2下载附件得到一张照片，初看看不出来什么，使用foremost分离得到一个压缩包，里面有一个流量包文件，但需要密码尝试多次，查看是否是伪加密，无果。那么从png文件入手，看能否找到密码。这里宽乘高是926*1100一般密码会藏在高中，通过改变高度隐藏信息（png文件）知识补充PNG文件图像

2020-08-17 22:23:19 1670

原创【百度杯”2017年春秋欢乐赛】web 攻击

题目链接：https://www.ichunqiu.com/battalion?t=1&r=57451分析代码：$_SEVER的解析：https://blog.csdn.net/weixin_45844670/article/details/108052294(1)若当前IP与$ ip变量的内容相同，则提示信息直接退出。(2)当POST中某id的键值等于’attack’时，打印$flag。这个id为 $flag的第6个位置开始，长度为3的一个字符串。（之所以是从第6个，是因为flag{已经

2020-08-17 14:18:58 461

转载【PHP】 $_SERVER (eg:REMOTE_ADDR)

PHP编程中经常需要用到一些服务器的一些资料，特把$_SERVER的详细参数整理下，方便以后使用。$_SERVER[‘PHP_SELF’] #当前正在执行脚本的文件名，与 document root相关。$_SERVER[‘argv’] #传递给该脚本的参数。$_SERVER[‘argc’] #包含传递给程序的命令行参数的个数（如果运行在命令行模式）。$_SERVER[‘GATEWAY_INTERFACE’] #服务器使用的 CGI 规范的版本。例如，“CGI/1.1”。$_SERVER[‘

2020-08-17 11:24:48 474

原创【百度杯”2017年春秋欢乐赛】misc 内涵图

题目链接：https://www.ichunqiu.com/battalion?t=1&r=57451下载附件，用7z打开，一直点下去是一个故事看完觉得没啥啊把图片解压出来查看属性

2020-08-17 11:08:32 367

原创 SSL 证书格式相关知识补充

根据不同的服务器以及服务器的版本，我们需要用到不同的证书格式，就市面上主流的服务器来说，大概有以下格式：.DER .CER.PEM.CRT.PFX .P12.JKS.DER .CER文件是二进制格式，只保存证书，不保存私钥。该格式是二进制文件内容，Java 和 Windows 服务器偏向于使用这种编码格式。OpenSSL 查看openssl x509 -in certificate.der -inform der -text -noout转换为 PEM：openssl x509 -in ce

2020-08-17 09:56:13 591

原创【i春秋第二届春秋欢乐赛】WEB Hello World

【dirmap】dirmap原作者链接dirmap知乎链接GitHub地址【Git Extract】GitHub地址先用dirmap扫描网站python dirmap.py -i http://106.75.72.168:9999/ -lcf得到：看到 .git想到存在源码泄露漏洞【git泄露】漏洞原因：在运行git init 初始化代码库时，会在当前目录下产生一个.git的隐藏文件，用来记录代码的变更记录等。在发布代码得时候，没有吧.git这个目录删除，导致可以使用这个文件来

2020-08-16 21:17:56 383

原创【i春秋第二届春秋欢乐赛】crypto 密码学 rsa256

题目链接： https://www.ichunqiu.com/battalion?t=1&r=61107下载附件，得到一个压缩包里面有都提示是rsa加密了，那么exponent是rsa中常说的的e，modulus是常说的m下面贴一下openssl rsa 的命令使用python转换一下16进制用在线网址分解出p,q然后上脚本（python2）#coding:utf-8import gmpyimport rsap = 3028255367440967415185462

2020-08-16 14:32:42 531

原创【i春秋竞赛训练营】Misc 杂项 Recreators

题目链接：https://www.ichunqiu.com/battalion?q=2743下载附件，得到一个无后缀文件先用file命令看一下是什么类型的文件发现是虚拟盘文件那么再分解一下看看能不能有什么收获foremost Recreator很好分离出来一个docx文件和mov文件但是kali打不开docx文件。。。。用word打开是一大串数字然后依次解密即可得到最后的flag解密过程：hexhexbase32base32base32base64base6

2020-08-14 15:52:47 426

原创【XCTF 攻防世界】MISC 杂项高手进阶区就在其中

题目链接：https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=1&id=4925&page=2下载链接得到一个流量包刚开始想用解压软件看看有没有什么隐藏文件，结果发现只有一个key.txt但是用了好多编码方法都不对于是打算用流量包看看搜索flag.txt，无果分析流量包发现大部分都是ftp协议，猜测传输的文件中有和flag有关的信息搜索刚才得到的key，看到pub.key想到

2020-08-13 17:38:17 926

原创【XCTF 攻防世界】MISC 杂项高手进阶区 Reverse-it

题目链接：https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=1&id=4949&page=1下载附件得的一个空白文件用file命令查看是什么文件但是什么也没得到使用foremost也没有分离出来那么用010editor看了看发现端倪文件头：文件头的部分是9D FF，反过来就是FFD9，是jpg的文件头文件尾：从后往前看是FF D8 FF，正好也是jpg的文件头找到了反转

2020-08-13 14:44:13 680

空空如也

空空如也