- 博客(20)
- 收藏
- 关注
RSS订阅原创 [极客大挑战 2019]BuyFlag 1
is_numberic()函数漏洞:is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后。第二种绕过方法利用is_numberic函数的漏洞,让password为404%20或者404%00都可以绕过。看来需要抓个包要求student必须是flag,抓包发现,这里的user=0,修改为1试试。看了别的文章,还有一种方法,传入数组利用strcmp的特性绕过,传入数组。修改以后返回这个,看看啥问题,原来前面有检测是不是数字,试试进制绕过。
2024-05-06 23:06:39
497
原创 [RoarCTF 2019]Easy Calc 1
是 PHP 中的一个非常有用的调试函数,它用于输出变量的内容、类型或字符串的表示。这个函数会显示关于一个或多个表达式的结构信息,包括其类型与值。数组和对象会展开到它们的元素和属性,并且递归地进行。可以帮助你理解 PHP 变量的确切内容和结构,这在调试和了解代码行为时特别有用。过滤了很多东西,尝试绕过觉得应该是命令执行,能力不行,参考了这位大哥的文章。尝试了很多的方法,题目提示是命令执行,我没领会到,查看源码。但如果你需要查看复杂的数据结构(如数组和对象),如果你只想查看变量的类型而不显示其内容,可以使用。
2024-05-06 00:16:07
149
原创 [ACTF2020 新生赛]BackupFile 1
该字符串被当作int来取值,其他所有情况下都被作为float来取值,该字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值为0。观察上述代码,“admin”==0 比较的时候,会将admin转化成数值,强制转化,由于admin是字符串,转化的结果是0自然和0相等。"0e456789"相互比较的时候,会将0e这类字符串识别为科学技术法的数字,0的无论多少次方都是零,所以相等。=== 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较。常见的备份文件的后缀有。
2024-05-06 00:03:22
374
原创 [极客大挑战 2019]PHP 1
我们尽量在构造payload的时候用php自带的编解码转换函数,因为成员(属性)是private,所以要在类名和成员名前加%00这个url编码是空的意思。因为生产序列化时不会把这个空也输出。调用unserialize()时会自动调用魔法函数wakeup(),可以通过改变属性数绕过,把Name后面的2改为3或以上。而且这里要注意,php的urlencode()是会自动把空编码成%00,而Python的parse.quote()不会。阅读源码后发现是php反序列化的漏洞。想要看源码的可以点击下面的文章。
2024-05-05 01:43:53
184
原创 [极客大挑战 2019]BabySQL 1
接下来就是不断地被过滤,直接给出完整的payload。正常的sql流程(注入点是password)尝试order by试出有多少列,发现不行。直接使用union 试试有多少列。’ 报错所以就是单引号闭合。我们的语句好像被过滤了。
2024-05-04 23:27:28
175
原创 [极客大挑战 2019]Upload 1
比较简单的文件上传–文件上传后的路径为upload/a.phtml。没有检测phtml后缀,所以就直接上传成功使用蚁剑连接。
2024-05-04 23:07:34
164
原创 [极客大挑战 2019]Knife 1
抓post的包(可以先使用hackbar,修改为post提交一次数据后再刷新,用burp抓包,不然自己修改的post的包,无法实现命令执行)很简单的一道命令执行。
2024-05-04 22:49:14
58
原创 [极客大挑战 2019]Http 1
再次访问这个php文件后,出现。在这里想到增加Referer头。发现出现指定浏览器访问,那就改。又发现要求本地访问,那就再改。
2024-05-04 21:31:31
141
原创 [极客大挑战 2019]Secret File 1
这就是一个文件包含,过滤了,…/ tp input data这几个参数。果断拿出burp进行抓包,然后发送到repeater。然后我们只需要简单的绕过就可以了。进行base64解码后就可以了。红框框处有链接,直接访问出现。然后访问这个php,出现。点击secret,显示。
2024-05-04 21:18:14
190
原创 [极客大挑战 2019]LoveSQL
无法通过order by试出有多少列,直接上union。以上为所有的payload,所以不多解释。常规题目,注入点在password框中。试探出是单引号的闭合方式。
2024-05-04 20:41:58
141
原创 [强网杯 2019]随便注 1
1919810931114514是table名而且是字符串所以需要用反引号包起来。可以看到select被过滤掉了,所以就只能使用堆叠注入了。输入1’后,报错验证出就是单引号的闭合方式。输出为数组的形式,一下就想到了堆叠注入。我们还是尝试正常的sql注入方式。也是一道sql注入的题目。
2024-05-04 20:18:44
158
原创 [SUCTF 2019]EasySQL 1
返回的数组,再加上给的语句Give me your flag, I will tell you if the flag is right.,推出有flag from flag,因为需要验证flag是否正确,可以猜测出sql语句可能是。根据题目的提示这是一个sql注入的题目所以我们就尝试sql注入。两个有一假,则全为假,只有全真为真。但是from被过滤了,所以戛然而止。补充 || = or的相关知识,使用短路语法就可以读出flag。解释一下这句sql语句。先输入1,发现有回显。还有一种就是堆叠注入。
2024-05-04 19:57:42
204
原创 [GXYCTF2019]Ping Ping Ping 1
发现我们的空格被过滤了,寻找绕过方法使用$IFS绕过空格,当然绕过空格的方式不止这一种,我们先读取index.php。可以看到,对我们的输入进行了较细致的检测,/ flag space 这些都不能使用。我们尝试管道符拼接,不知道管道符的可以看我的上一篇文章。读取出来了index.php和flag.php。就是将反引号里面的命令的输出作为输入执行。大胆的猜测,get传参的方式,尝试一下。|拼接成功,所以我们接着尝试别的命令。
2024-05-04 16:24:51
95
原创 [ACTF2020 新生赛]Exec 1
& 如果前面为假,后面的命令也不执行,如果前面为真则执行两条命令(顺序执行) #ls && whoami。|| 如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 #dir || whoami。&& 如果前面为假,后面的命令也不执行,如果前面为真则执行两条命令 #dir && whoami。|| 如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 #ls || whoami。&前面和后面命令都要执行,先执行前面的语句,无论前面真假 #ls & whoami。尝试使用管道符进行拼接。
2024-05-04 14:26:22
202
原创 [HCTF 2018]WarmUp 1
的位置(即 source.php?接下来,它会尝试对截取后的字符串(即 source.php)进行 URL 解码(虽然这里 source.php 不需要解码),并再次截取解码后字符串中第一个?首先,它会尝试直接检查 $ page(即 file 参数的值)是否在白名单中。最后,它会检查截取并(可能)解码后的字符串是否在白名单中。在这个例子中,source.php 是在白名单中的,所以 emmm::checkFile 会返回 true。首先看题目的提示,没有提示,审计源码,发现有source.php。
2024-05-04 01:48:19
202
1
原创 vulfocus/fastjson-cnvd_2019_22238漏洞复现(docker)附问题解决方案
完整的复现过程,每一步的原理都很详细。使用vulhub的docker,没有使用在线的vulfocus因为连接太不稳定了
2024-03-10 17:06:04
1769
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人