- 博客(66)
- 收藏
- 关注
RSS订阅原创 [极客大挑战 2019]Havefun、[ACTF2020 新生赛]Include、[SUCTF 2019]EasySQL
直接给出了flag?尝试了一下结果是一个假的flag,然后我们分析源代码很容易看出我们通过GET方式给cat传一个值,如果cat的值为dog就输出flag,这很简单了我们通过get方式给cat传一个叫dog的值我们就能获得flag,payload如下。返回包的长度为523的是可以使用的而其他是不可以的,既然;继续解题,输入非零数字得到结果一直是1而输入其他字符的数据就得不到回显猜测内部sql语句为。判断是什么闭合输入1#有回显,而1’和1‘#均没有输出,感觉是数字型sql注入。这时我们注意url的变化。
2023-04-26 18:35:12
479
原创 [RoarCTF 2019]Easy Calc、攻防世界 ics07、[极客大挑战 2019]EasySQL
利用点就在上面这串代码中,这里先把文件名拼接到backup目录下,然后正则匹配,这里正则的意思是:匹配最后一个点后面的后缀,然后下面的else里面又更改了当前目录。然后通过POST方式写入con和file,一个为文件内容一个为文件路径,又因为有正则匹配的过滤,我们将文件名取名为5.php/.,又因为这是Linux操作系统所以可以解析那么接下来我们上传文件即可。通过这段代码发现只需要result有值我们就可以上传文件了,一开始我的思路是通过sql注入完成但是失败了,这时候我们看一下sql查询的条件。
2023-04-22 20:29:26
633
原创 hitcon_2017_ssrfme、[BJDCTF2020]Easy MD5、[极客大挑战 2019]BuyFlag
这里查一下md5函数,当存在参数true时,使用原始16字符二进制格式,找到ffifdyop字符串经过MD5哈希之后,会变成276f722736c95d99e921722cf9ed621c,mysql会把hex当作Ascii码来解释所以这几个字符相当于:’ or '6xxxxxxx。在这里需要通过Post方式传入两个值,并且这两个值要求不相等且md5加密后要全等,这就又有个矛盾了,这里有嘚用一次md5弱类型比较,给这俩个值当成数组赋值这样一来就能成功绕过(如果这里不懂md5弱类型比较建议百度一下。
2023-04-19 19:27:09
642
原创 [ZJCTF 2019]NiZhuanSiWei、[ACTF2020 新生赛]BackupFile、[WUSTCTF2020] 朴实无华
我们使用head命令将fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag读出,空格使用$IFS$9来绕过空格。会先将字符串转化为整数然后再进行比较。这个地方考察的md5弱类型比较,通过弱类型比较,与md5加密后的值相等,即可绕过,这里绕过也很简单我们找到以0e开头的字符串,加密后还是以0e开头即可在弱类型比较时均转换成整数0。
2023-04-17 22:10:46
103
原创 攻防世界 cat、Confusion1、lottery
进入题目是一个类似于买彩票的东西我们先去注册个账号,然后发现可以buy flag,大概理解题目意思,我们要么只能在买彩票的时候让我们中大奖要么只能改变自己的余额,原题目应该使用dirsearch扫描发现git泄露然后使用Githack复原的但是攻防世界这边直接把源码给了我们。django项目下一般有个settings.py文件是设置网站数据库的路径,所以我们去读取settings文件,这里需要注意django项目生成时settings.py会存放在以项目目录下再以项目名称命名的文件夹下面。
2023-04-12 19:49:08
335
1
原创 vulnhub Hackathon2渗透笔记
靶机下载地址:https://www.vulnhub.com/entry/hackathonctf-2,714/kali ip地址:192.168.20.130。
2023-04-09 19:45:35
368
原创 攻防世界web2、ddctf_2019_homebrew_event_loop、 [网鼎杯 2018]Fakebook
num_items传入队列执行执行的是consume_point_function(num_items)如果session[‘num_items’]>=5那么就执行trigger_event,我们再去看一下trigger_event是干什么的。如果我们直接调用buy_flag(5)。先将buy_flag(5)执行。这里execute_event_loop起到路由功能。然后执行对应的函数。execute_event_loop函数。作用是判断session中的points是否小于我们想要购买的数量。
2023-04-07 22:28:31
281
原创 攻防世界 favorite_number mfw、[BJDCTF2020]ZJCTF,不过如此
这里发现一个assert()函数,想到估计是代码执行漏洞,而$page没有任何的控制直接拼接,我们想利用assert()函数执行cat ./templates/flag.php获得flag,那么肯定要破坏原来的assert结构才能,使得我们目标才能达成。审计代码发现,通过POST方式传一个数组,传入的数组的内容必须与array数组内容全等,但这里有个矛盾,需要传入的数组的第一个元素不能为admin,但array数组的第一个元素就是admin,这里就要利用数组溢出漏洞了,使用如下payload。
2023-04-04 22:10:52
402
原创 kali wpscan无法更新数据库解决方案
然后我们去/var/www/html/wpscan_6666/wpscan中将所有文件移到上一层目录中。被这个问题折磨了一个多小时……找了很多方法最后只发现这种方法可行。赋予脚本执行权限并且开启kali apache服务并且执行脚本。首先在任意位置编写一个自动安装脚本,脚本内容如下。然后再执行如下指令即可完成更新。看到这张图时恭喜已经更新完成。
2023-04-02 21:26:07
289
原创 vulnhub THE PLANETS: EARTH渗透笔记
靶机下载地址:https://www.vulnhub.com/entry/the-planets-earth,755/#downloadkali ip地址。
2023-03-30 19:32:08
312
原创 BMZCTF ssrfme 端午节就该吃粽子 pchar???
空格等特殊字符如果不进行编码,服务器在处理的时候可能出现问题,通过浏览器的方式访问的话,空格会自动编码为%20或者+,但我们通过上述方法嵌套参数,让服务器自己去请求http的时候就会出现问题,解决方法是进行二次编码。因为第二点说了web服务器默认就会对解析后的参数进行url解码,所以php最开始解析我们的参数时进行了一个解码,服务器通过http伪协议去访问时又会对解析后的参数进行一次解码,所以我们可以进行二次编码。|拼接执行指令\绕过对cat的匹配${IFS}绕过对空格的匹配,?并且长度不能大于70。
2023-03-27 19:04:16
403
原创 vulnhub DC:1渗透笔记
靶机下载地址:https://www.vulnhub.com/entry/dc-1,292/kali ip地址。
2023-03-25 16:27:21
851
原创 vulnhub Noob渗透笔记
靶机下载地址:https://www.vulnhub.com/entry/noob-1,746/kali ip。
2023-03-24 17:31:31
377
原创 攻防世界 ics-05
此处存在preg_replace函数,感觉会存在命令注入漏洞,函数作用:搜索subject中匹配pattern的部分,以replacement进行替换。此处考察的是preg_replace函数使用/e参数导致代码执行的问题。也就是说,pat值和sub值相同,rep的代码会执行。并且没有对pat参数进行过滤,所以这里我们可以传入"-e"触发漏洞。我们重点来观察url发现这里可能存在文件包含,我们使用伪协议读取看看。进入题目依旧是这个场景我们去设备维护中心看看。开始审计代码简单看了一下之后发现利用点在这里。
2023-03-21 20:33:15
103
原创 vulnhub Deathnote渗透笔记
靶机下载地址:http://www.vulnhub.com/entry/deathnote-1,739/此题如果要用vmware打开需修改网卡配置操作如下在这个页面按e,修改下图配置为按f10保存退出然后我们使用nano 编辑/etc/network/interfaces文件内容按下ctrl+x会提示你是否保存按下Y重启虚拟机即可kali ip。
2023-03-20 16:59:19
277
原创 vulnhub mrRobot渗透笔记
mrRobot渗透笔记靶机下载地址:https://www.vulnhub.com/entry/mr-robot-1,151/kali ip信息收集首先依旧时使用nmap扫描靶机的ip地址nmap -sP 192.168.20.0/24 扫描开放端口nmap -sV 192.168.20.130开启了80,443端口我们尝试浏览器访问尝试使用dirb扫面目录dirb http://192.168.20.130/扫描结果太多我们重点来看如下几个目录通过扫描发现是一个博
2022-03-19 19:43:20
3897
原创 vulnhub靶机Tr0ll:1渗透笔记
Tr0ll:1渗透笔记靶场下载地址:https://www.vulnhub.com/entry/tr0ll-1,100/kali ip:192.168.20.128靶机和kali位于同一网段信息收集首先通过nmap扫描靶机ip地址nmap -sP 192.168.20.0/24确定靶机ip扫描开放端口nmap -sV 192.168.20.129发现21 和80 端口可能有用我们先来看看80端口并没有发现什么信息我们使用dirb扫描一下目录dirb http://192.1
2022-03-12 21:58:34
5148
原创 使用Ansible部署openstack平台
使用Ansible部署openstack平台本周没啥博客水了,就放个云计算的作业上来吧(偷个懒)案例描述1、了解高可用OpenStack平台架构2、了解Ansible部署工具的使用3、使用Ansible工具部署OpenStack平台案例目标1、部署架构Dashboard访问采用负载均衡方式,提供VIP地址,平台访问通过VIP地址进行访问,当其中一台控制节点异常时,别一台控制节点可以继续正常工作;MariaDB数据库采用集群式部署,控制节点间数据库相互进行同步。2、节点规划Ansible
2022-03-11 16:40:32
3485
2
原创 vulnhub 靶机 Kioptrix Level 1渗透笔记
靶机下载地址:https://www.vulnhub.com/entry/kioptrix-level-1-1,22/kali ip信息收集先使用nmap收集目标的ip地址nmap -sP 192.168.101.0/24扫描开放端口nmap -A -p- 192.168.101.20这时我们发现samba的绑定服务器的139端口我们使用msf探测一下他的版本msfconsolemsf6 > use auxiliary/scanner/smb/smb_version
2022-03-03 19:27:13
5443
原创 攻防世界shrine
shrineimport flaskimport osapp = flask.Flask(__name__)app.config['FLAG'] = os.environ.pop('FLAG')@app.route('/')def index(): return open(__file__).read()@app.route('/shrine/<path:shrine>')def shrine(shrine): def safe_jinja(s):
2022-02-28 15:32:21
518
原创 攻防世界 easytornado
easytornado进入环境就这样子我们逐一访问看看进入flag.txt提示flag in /fllllllllllllag我们访问fllllllllllllag看看报了一个error,且在浏览器有回显,莫非是模板注入,我们试一试,把error换成456看看浏览器回显确定有模板注入了但是这里没有更多信息我们只能先放一放了然后我们去访问welcome.txt看看第二个是一个render,render是一个Tomado框架的一个渲染函数,即可以通过传递不同的参数形成不同的页面。还有个
2022-02-23 11:13:26
2054
原创 BMZCTF WEB_ezeval
WEB_ezeval进入环境,源码给出<?phphighlight_file(__FILE__);$cmd=$_POST['cmd'];$cmd=htmlspecialchars($cmd);$black_list=array('php','echo','`','preg','server','chr','decode','html','md5','post','get','file','session','ascii','eval','replace','assert','exec','
2022-02-20 19:21:37
102
原创 BMZCTF 2020祥云杯到点了
2020祥云杯到点了下载附件得到三个word文档,我们打开第一个文档然后将隐藏文字显示出来得到提示我们查看属性应该就是日期了我们先把他记录下来然后打开第二个文档输入刚刚的密码在第二个word最下面发现疑似培根加密的字符我们去解密也暂时先记录下来第三个word打开时我电脑跳出了个提示,感觉里面隐藏了一些东西,我们使用常规思路将后缀改为.zip打开看看,从中翻出了一张图片是.bmp的文件后缀推测为wbs43open隐写我们用工具来解开隐写第四步第五步打开即获得fla
2022-02-19 19:30:29
159
原创 hackgame2018_签到
hackgame2018_签到进入题目得到如下提示尝试提交发现这个输入框长度做了限制我们将前端js修改一下然后提交以下这样就发现了flag这题比较简单……
2022-02-17 21:00:25
942
原创 vulnhub靶机djinn:1渗透笔记
djinn:1渗透笔记靶机下载地址:https://www.vulnhub.com/entry/djinn-1,397/信息收集首先我们嘚确保一点,kali机和靶机处于同一网段,查看kali ip地址当打开这台靶机的时候我们就知道ip地址由于我们已经确定了靶机的ip所以我们直接扫描开放端口nmap -A -p- 192.168.20.145首先我们去访问一下21端口的ftp服务,发现可以匿名登录。根目录有三个txt文本文件我们依次打开查看creds.txtnitu:81299
2022-02-16 19:09:02
1973
原创 buuctf 荷兰带宽数据泄露
荷兰带宽数据泄露下载附件得一个conf.bin文件,这个文件是路由信息文件,题目并没有任何提示,我们先来测试一下最简单的,找username或password然后当作flag交上去,我们使用RouterPassView打开搜索username然后我们套上flag{}就对了flag{053700357621}...
2022-02-15 18:18:47
936
原创 BMZCTF simple_pop
simple_pop打开题目得到源码这边是php伪协议的考点,需要去读取useless.php解码获得源码<?php class Modifier { protected $var; public function append($value){ include($value);//flag.php } public function __invoke(){ $this->append($this->var)
2022-02-14 18:07:37
202
原创 攻防世界 Ditf misc
Ditf附件下载下来就是一张图片,我们拉到hxd中发现应该有隐藏的压缩包我们拉入到kali里面分析意外发现图片高度被修改过我们先用binwalk分析图片看看我们先尝试分离一下分离出一个压缩包但是需要密码想到高度有问题我们用hxd修改一下得出密码解压出一个流量包发现一些http流量我们过滤一下在这里发现一个png文件的流量我们追踪一下http流这明显是一个base64加密我们去解密得出flag...
2022-02-12 19:52:46
989
原创 攻防世界杂项MISCall
MISCall下载下来是一个附件但是不清楚他是个什么东西我先拉入kali看看发现是一个tar包不过这个包我们需要使用以下的指令来解压tar -xjvf d02f31b893164d56b7a8e5edb47d9be5解压下来有个新的目录ctf里面有个flag.txt不过是个假的flag,我们使用ls -a显示隐藏文件夹.git,那我们使用git log查看git记录使用git stash show校验列表中存储的文件使用git stash apply复原文件发现一个s.py文件即可获
2022-02-11 18:36:45
680
原创 SCTF 2018_Simple PHP Web
SCTF 2018_Simple PHP Web进入环境注意观察urlhttp://www.bmzclub.cn:23627/?f=login.php有点像是文件读取我们尝试读一下/etc/passwd,直接读发现不行我们尝试使用伪协议http://www.bmzclub.cn:23627/?f=php://filter/convert.base64-encode/resource=/etc/passwd发现成功能读出接下来我们尝试读取/flaghttp://www.bmzclub.cn
2022-02-10 17:09:57
456
原创 攻防世界supersqli
supersqli补充知识点rename 命令格式: rename table 原表名 to 新表名例如,在表myclass名字更改为youclass:mysql>rename table myclass to youclass;alter和change,使用change子句,语法有很大的不同。在change关键字之后,紧跟着的是你要修改的字段名,然后指定新字段名及类型,例子mysql> alter table testalter_tbl change i j int补充完成了这
2022-02-09 18:50:12
672
原创 攻防世界Web_python_template_injection
Web_python_template_injection根据题目意思有点像python的ssti模板注入我们来测试一下果真存在那么我们就用ssti的基本方法了我们先来看看全局变量我们先来寻找一下基类http://111.200.241.244:62377/{{''.__class__.__mro__}}在这里发现了object类寻找<type ‘object’>类的所有子类中可用的引用类http://111.200.241.244:62377/{{''.__cla
2022-02-08 17:40:41
875
原创 [GXYCTF2019]Ping Ping Ping
[GXYCTF2019]Ping Ping Ping进入环境输个ip发现就是在ping这个ip地址,我们尝试使用分号来执行命令发现flag.php可惜不能直接cat flag.php估计绊掉了,那我们cat index.php看看还是不行,尝试绕过了一下空格,原来空格也过滤了,这样一来源码就出来了?ip=127.0.0.1;cat$IFS$9index.php源码如下/?ip=|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){ echo pr
2022-02-07 18:17:16
2296
原创 python udp socket通信
前端时间学习了一下c++的socket通信,但发现那玩意儿比较复杂还是转向python了,下面就是一个简单的udpsocket通信程序,欢迎大佬前来指正udp聊天import socket# 创建套接字udp_socket = socket.socket(socket.AF_INET,socket.SOCK_DGRAM)# 获得ip/portudp_socket.bind(("",7788))dest_ip = input("请输入对方ip:")dest_port = int(input
2022-02-07 13:06:24
1761
原创 攻防世界web_php_unserialize
web_php_unserialize进入环境给出源码<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); }
2022-02-06 18:59:40
668
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人