- 博客(66)
- 收藏
- 关注
RSS订阅原创 攻防世界-Get-the-key.txt
但是解压的时候提示格式不对,不是zip,rar可以。解压出来有一个key.txt,打开就行。notepad++看到,这应该是一个压缩包,解压。
2023-09-05 16:13:52
194
原创 攻防世界-Hear-with-your-Eyes
是一个没有后缀的文件,题目提示要用眼睛看这段音频,notepad++打开文件,没什么东西。使用Audacity打开音频文件。加后缀zip再解压看看。
2023-09-05 15:58:36
534
原创 攻防世界-web2
miwen应该是密文的拼音。在函数encode中,传入字符串str,依次将str中的每一个字符转换为十进制ASCII码加一,然后再转换成字符。
2023-09-04 22:12:35
263
原创 攻防世界-php_rce
s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=命令。ls查看文件没什么东西,robots.txt和index.php有可能有,不过看了也没什么可疑的。一直往上级目录查看三次才找到flag。使用cat命令查看flag文件。thinkPHP.0有漏洞,本题就是利用漏洞查找。
2023-09-01 21:47:39
622
原创 攻防世界-What-is-this
解压后文件 没有后缀,不知道是什么文件。用notepad++打开找不到flag。用stegsolve以打开图片1,尝试当成压缩包解压。
2023-08-30 21:06:31
238
原创 攻防世界-倒立屋
用StegSolve打开文件,调通道没用,wp说用RGB信道打开可以找到,但说实话用大括号也没找到在哪,得是预先知道答案才找得到。
2023-08-27 09:55:05
147
原创 攻防世界-Web_php_unserialize
初始POC构造为O:4:"Demo":1:{s:10:"Demofile";为触发漏洞改为O:4:"Demo":2:{s:10:"Demofile";绕过preg_match 函数O:+4:"Demo":2:{s:10:"Demofile";看wp知道,如果被反序列话的字符串其中对应的对象的属性个数发生变化时,会导致反序列化失败而同时使得__wakeup 失效(CVE-2016-7124的漏洞),所以这题其实是一个反序列化的题目。
2023-08-27 08:50:50
534
原创 攻防世界-Fakebook
no=1order by 5报错,一共有四列。数据库名字叫fakebook,看列名no=-1 /**/union /**/ select 1,group_concat(column_name) ,3,4 from information_schema.columns where table_schema="fakebook"#no=-1/**/union/**/select 1,load_file('/var/www/html/flag.php') ,3,4#,但是返回结果没什么东西。原来反序列化在这里。
2023-08-25 09:42:14
157
原创 攻防世界-shrine
明显使用的flask框架,那就用flask模板注入。查看配置文件config。注意config在函数safe_jinja中使用了。flag就在config中。
2023-08-24 16:56:29
83
原创 攻防世界-simple_js
进制转换就是,也是一串数字,那把这两串数字都拿去转ASCII码。js就看源代码,pass是数字,下面还有一串十六进制的编码。
2023-08-23 11:57:39
320
原创 攻防世界-Web_php_include
php://被替换了,但是只做了一次比对,改大小写就可以绕过。flag明显在第一个PHP文件里,直接看。用burp抓包,看看有哪些文件。
2023-08-22 15:48:28
619
原创 攻防世界-supersqli
两个表但从名字来看第一个表比较可疑,不过第二个也有可能,就依次查看各个表的列。flag的位置找到了。题目就叫supersqli,目标数据库也明显了。如果是3列就报错,说明只有两列。结果是后端做了一些简单的过滤,需要更换查找语句。直接查找看不到明显的回显变化。
2023-08-21 09:37:44
416
原创 攻防世界-command_execution
题目告诉了,这可以执行ping命令且没WAF,那就可以在ping命令后连接其他命令。服务器一般使用Linux,在Linux中可使用“&”连接命令。
2023-08-21 08:56:08
113
原创 攻防世界-easyphp
c要是json格式,m键且不能是整数类型,但要大于2022,n键要是一个列表,并且列表的第一个元素也是列表。需要满足a表示一个大于6000000长度小于等于3的数,这就会用到科学计数法,例如1e9。b需要md5值的倒数6位为8b184b。md5彩虹表可以通过获得。构造payload类似于“
2023-08-20 15:29:12
356
原创 攻防世界-warmup
hint.php告诉我们flag的位置ffffllllaaaagggg。查看source.php,白名单中还有一个hint.php。只有一张图片,就查看源代码,有一个source.php。但是直接跳转是没用的,构造payload。
2023-08-19 18:01:23
699
原创 攻防世界-ics-06
看着页面多,其实只有报表中心能够跳转,但是选了确定后没反应,应该不是注入,只有id会变化。在burp中设置好负载进行爆破。有一个长度与众不同的包。
2023-08-19 17:46:28
86
原创 攻防世界-Web_python_template_injection
经过尝试很快就能发现使用{{}}就能注入,并且会回显报错信息,3的位置是{{}}中语句的执行结果。找可用的引用,有一个file的类型(真不好找啊,又多字长得又像),flag应该会保存至文件中。一说到python的web我就想到flask框架,但从没用过flask注入。file出现在第41个type中,在72个type有print。先打印后端的一些文件。,这篇文章有详细的介绍。
2023-08-19 09:09:06
143
原创 攻防世界-simple_php
flag被分成了两个部分:flag2,flag2。获得flag1需要满足变量a=0且变量a≠0,这看起来不能实现,但实际上当变量a的值是字符时,与数字比较会发生强制类型转换,所以a为字符型数据即可,变量b则是一个不全为数字的大于1234的值即可。
2023-08-19 08:12:02
439
原创 攻防世界-fileclude
直接展示源码了,flag.php应该存放了flag,在file1与file2都不为空且file2是“hello ctf”时file1将被导入。接下来做法很明显,让file为flag.php,file2为“hello ctf”。
2023-08-18 22:08:11
299
原创 攻防世界-fileinclude
通过抓包修改,可以把lan变量赋值flag。在cookie处修改。新打开的网页没有cookie,直接添加“Cookie: language=php://filter/read=convert.base64-encode/resource=/var/www/html/flag”即可。题目已经告诉了,flag在flag.php中,先查看网页源代码(快捷键CTRL+U)。
2023-08-18 21:46:37
323
原创 攻防世界-PHP2
这题需要查看页面的phps文件(这玩意从没见过)。phps的文件是存放php的源代码的,但是不是所有网站都有。但是直接传入admin不行。只要让传入的id=admin就可以得到key了。
2023-08-15 17:39:16
62
原创 攻防世界-Training-WWW-Robots
robots.txt是网站的爬虫声明,说明允许哪些部分被爬取,进robots.txt看看。f1.g.php不让看,进去看看。
2023-08-15 09:32:01
101
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人