- 博客(44)
- 收藏
- 关注
RSS订阅原创 BUUCTF [web专项39][BJDCTF2020]ZJCTF,不过如此
这里的 `$pattern` 是一个正则表达式字符串,用于指定搜索的模式, `$replacement` 是替换成的字符串, `$subject` 是要搜索和替换的原始字符串或字符串数组。在 PHP 中,`preg_replace` 是一个强大的正则表达式替换函数。它可以在一个字符串中使用正则表达式搜索和替换指定的文本。`preg_replace` 函数返回一个替换后的字符串或数组。作为正则表达式匹配条件的参数名 且 这个参数值为的"getFlag();( 开始定义一个捕获分组,并匹配其中的子表达式;
2023-11-20 09:49:45
273
原创 BUUCTF [web专项38][BUUCTF 2018]Online Tool
首先,我们要知道escapeshellcmd和escapeshellarg的作用,这俩一旦连着用起来就有漏洞。进入后,发现有源码(实话实说,不知道怎么绕过,我绕过两个esc后没用oG写入文件进行执行)escapeshellcmd在这里的作用是对\添加\并对单引号进行转义(无法配对的单引号)escapeshellary在这里的作用是转义单引号并将其两侧用单引号套起来。最后要用nmap的-oG来将该可执行代码写入指定文件内执行。所以我们可以利用该特性,构造转换后可以执行的语句。上传成功后直接蚁剑连接即可。
2023-11-20 09:21:17
117
原创 BUUCTF [web专项37][BSidesCF 2020]Had a bad day
代码审计可以知道,category的右侧一定要是woofers或meowers或index。既然伪协议构造可以查看index,那么我们也可以看flag啊。不对,index在检查范围内,还是需要用到的。我们先来构造伪协议来查看index.php。但是重点是,url地方有注入点。尝试去掉php看看,应该也可以。进入后发现提示要点击两个按钮。点击后发现是猫狗图片。解码后,发现是个源码。发现有个base64。解密即可获得flag。
2023-11-13 16:10:26
190
原创 BUUCTF [web专项36][网鼎杯 2020 朱雀组]phpweb
这个地方没有对参数进行校验,我们可以在这里进行序列化一些函数后再反序列化出来语句从而绕过黑名单。代码审计后,发现这个是一个过滤性较强的黑名单,但是还有利用点。发现这个表单里会用post方式上传两个参数,func和p。其实就提示了一个index.php这个点。先抓包看看这两个参数的上传值是否可以做文章。我们先来查看最开始提示的index.php。发现最后面有个最有嫌疑的flag。过了一会发现有错误提示。进入后发现是一张图片。
2023-11-13 15:39:25
114
原创 BUUCTF [web专项35][BJDCTF2020]The mystery of ip
{{}}是插值表达式,简单来说就是用该表达式的结果来代替回显值。内部就是调用ls命令来查看,没什么好说的。尝试修改X-Forwarded-For。进入后发现左上方有flag的标志。其实我是看不出来什么有用的信息的。那就只能先从页面的IP显示入手。那就可以尝试利用该点进行回显。尝试回显出flag的内容。进入后发现只有一个ip。虽然不知道为啥会有俩。
2023-11-13 11:17:58
87
原创 BUUCTF [web专项34][RoarCTF 2019]Easy Java
WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中。/WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件。/WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。/WEB-INF/src/:源码目录,按照包名结构放置各个java文件。发现flag就在附近。
2023-11-13 10:54:48
138
原创 BUUCTF [web专项32][CISCN2019 华北赛区 Day2 Web1]Hack World
发现一般注入和报错注入都不行。扫完即可获得flag。
2023-11-13 10:20:57
118
原创 BUUCTF [web专项33][网鼎杯 2018]Fakebook
先登录,万能密码登录发现不行选择注册,随便注册一个进入用户界面发现url有很经典的模板 no=1尝试注入发现报错注入可以显示先来查列数爆库名(全部)最有可能库的还是fakebook查表查字段查数据可以看到有考验反序列化的地方但是我突然想到之前有一道题可以注入一个临时用户或许可以改变blog来修改。
2023-11-13 10:10:50
87
原创 BUUCTF [web专项31][GYCTF2020]Blacklist
我记得原本我总结了两种方法,一种是用handler获取flag,另一种是替换words的数据来进行输出获取flag。ok了,rename,alter被过滤掉了,第二种方法不行,还是用handler吧。而且只能获取1,2的数据,其他数据(数字,字符等)全都不显示好像。坏了,好熟悉的感觉,好像之前做过类似的题目,甚至大致模板都一样。我记得是用堆叠注入来获取库表之类的。第二种:顶替words来输出数据。出来了,进入FlagHere。第一种:handler。
2023-11-07 10:05:51
72
原创 BUUCTF [web专项30][GXYCTF2019]BabySQli
我的思路是去用union select查询列数,然后尝试username在哪个列,然后再注入临时用户数据。mysql在查询不存在的数据时会自动构建虚拟数据,一般数据要么明文,要么MD5。发现这是一句用来查询 我们提交的用户名的数据(应该没什么操作空间)可以使用union select来查询列数,那就再次增加列数来尝试。经过测试解码,解码顺序是:base32解码->base64解码。注意:这里的第三列用的是123进行md5转换后的数据,因为。双写绕过也错误,那就换个联合查询看看能不能查出来。
2023-11-07 09:38:04
163
原创 BUUCTF [web专项29][GXYCTF2019]BabyUpload
成功,再次上传 .htaccess 来修改后缀(吸取了上次文件上传题的经验,成功上传的结果没有index,不需要用.user.ini)发现后缀不能带ph,那么就猜测是需要上传木马图上去,在上传一些文件来修改上传目录的指定文件后缀为php来进行执行。上传成功,我们先到上传目录下的1.jpg下看看是否执行了。已经执行了,那么我们就需要蚁剑连上去即可。那就需要抓包修改上传类型来绕过检测了。进入后还是发现是个文件上传题。在根目录下即可获得flag。还是用以前总结出来的方法。
2023-11-07 08:38:59
115
原创 BUUCTF [web专项28][SUCTF 2019]CheckIn
想到前面做过一道上传题,上传图片后用.htaccess文件修改上传目录的指定文件后缀。到底还是没有理解出来个所以然,应该是后台检测到该后缀自动删除之类的?成功后修改一下1.jpg再次上传(命令输出flag)看了别人的,发现别人用.user.ini来操作。我也不晓得了,如果有大佬知道请教教我!发现错误,再次上传,但是修改类型。新建一个.htaccess文件。我们再上传一次图片获取上传目录。先把phtml后缀改为jpg。进入后发现是个上传文件的题。上传成功后,进入所给的目录。先上传phtml后缀试试。
2023-11-06 16:28:02
117
原创 BUUCTF [web专项24][ZJCTF 2019]NiZhuanSiWei
注意:一定不要再用伪协议获得useless.php的base64编码内容了,而且还要指明文件是useless.php,否则会被顶掉内容。将其修改变量file后并添加输出后,进行序列化操作,再传输给password让其输出。还记得前面的截图吗,在后面会有一个反序列化操作,那么我们就可以利用该代码。获取结果后,将其传给password。3.这道题是有序列化和反序列化的。出现base64码,解码后,得到。1.需要给text传输一句话。进行正则匹配,禁止出现flag。接下来,尝试伪协议查看。参考他人wp后,发现。
2023-11-06 15:07:10
165
4
原创 BUUCTF [web专项27][网鼎杯 2020 青龙组]AreUSerialz
1.FileHandler作为函数名是固定的,否则不会回显(至少我是这样的)(FileHandler 的作用是对外提供统一的文件读写 API,用户可以在无感知的情况下读写各种类型的文件)2.protected权限的变量在序列化时会有%00*%00字符,%00字符的ASCII码为0,不在is_valid函数规定的32到125的范围内。发现是获取filename的内容,那么我们使用伪协议进行获取flag.php(头有包含flag.php的提示)1.op==2为true且op==="2"失效(即op=2)
2023-11-06 12:38:26
234
原创 BUUCTF [web专项26][MRCTF2020]Ez_bypass
进入后发现是一串代码并且提示 F12有东西。我们先看第一个,发现是个MD5值的强相等。首先我们需要passwd=1234567。直接在passwd后加任意字母即可绕过。第一步绕过成功,开始绕第二步骤。直接看源码,发现需要两个绕过。那我们就需要知道弱相等绕过。
2023-11-06 10:31:57
63
原创 BUUCTF [web专项25][极客大挑战 2019]HardSQL
right(password,32) (可以换成30,因为后面还有个}和~,32只是因为没有影响就没改)尝试报错注入(datexml和extractvalue两种,但是我看别人的wp都有,挺全的)那就用^代替and,用()代替空格,like代替等于号(如果还有需要代替的后面再说)发现这次过滤的很全,万能密码没有一个可以使用。经过测试,至少and,空格,等于 等被过滤。我们可以用right函数来获取后面的字符。发现只有一半,因为只能输出32字符。老常客了,进入后先用万能密码试试。拼凑即可获得flag。
2023-11-05 16:04:45
291
原创 BUUCTF [web专项23][HCTF 2018]admin
别人的做法是session伪造和unicode欺骗之类的。需要登录,题目提示admin,先用admin试试。发现密码是1竟然也能过(弱口令爆破)后面发现我这个算是投机取巧。右上角点击login。
2023-11-05 10:08:50
127
原创 BUUCTF [web专项22][MRCTF2020]你传你呢
发现可以写一个.htaccess文件来实现文件的类型(后缀)的转换。但是问题是我们传上去就是jpg图片,他不会识别为php并执行啊。发现抓包改后缀会被报错,但是不改后缀就不报错,成功上传。老规矩,把之前用图片绕过检测的再来用一遍试试。用蚁剑连一下原本上传的图片位置。进入后在根目录即可查到flag。
2023-11-05 09:47:41
107
原创 BUUCTF [web专项21][护网杯 2018]easy_tornado
搜素百度得Tornado框架下handler.settings中存在cookie_secret。发现是正确的,测试一下cookie_secret能不能直接查到。发现报错,到这里我就没什么思路了,抓包各种都试了,没思路。被{%XXX%}包裹 (XXX是具体控制语句)进入文件并输入正确的filehash即可获得flag。filehash,猜测是一种与文件共同检测的检测码。发现是文件哈希,是一种MD5的哈希加密。发现果然是一个服务器注入(我根本不会)查百度发现是一种服务器。发现报错的这里有操作点。
2023-11-05 09:01:56
73
原创 BUUCTF [web专项20][BJDCTF2020]Easy MD5
2.添加Content-Type: application/x-www-form-urlencoded。(因为修改的东西只在burp中存在,或者说只在当前的这个包中存在,放出去后执行完就不再出现)由于md5不会运算数组,会认为是NULL,所以用数组可以绕过强相等和弱相等问题。发现没有变化,原来是用POST上传才可以(这个页面用的是GET)修改GET为POST后,用burp传值发现还是不出flag。输入后跳转新页面,查看源码,发现是个弱相等问题。发现源码也没有回显,页面也无回显,抓个包看看。
2023-11-04 16:06:01
105
原创 BUUCTF [web专项19][极客大挑战 2019]BuyFlag
审查源码,我们发现我们需要用post上传password==404的数值,但是还不能是纯数字。发现这里有Cookie: user=0 把0修改成1,发现成功出现其他信息。发现界面没有什么变化,最下面说需要中大学生的身份,尝试抓包看看有无修改点。很明显的弱等于的绕过方式,我们上传password=404e。但是我看其他大佬是利用的php strcmp()漏洞来获取的。直接看源码(后面发现右上角就有切换,完全不用看源码hh)这里我用的是火狐插件hackbar。传上去后发现过长,那就用科学计数法。
2023-11-04 15:02:52
176
原创 BUUCTF [web专项18][RoarCTF 2019]Easy Calc1
原理:php解析规则:当php进行解析时,如果变量名前面有空格,php会自动去掉前面的空格再进行解析,假如waf不允许num变量接收字母,那么使用 num就可以,而php解析时就会自动把空格去掉。发现有过滤与eval() (该函数可以将字符串str当成有效的表达式来求值并返回计算结果,也就是有漏洞可以钻)进入后发现有个输入框,首先想到的是注入(虽然没提示)发现报错,估计是WAF的禁止访问。成功进入,查看一下目录的具体内容。发现被拦截,还得用chr来绕过。发现可能有某些过滤,查看源码。
2023-11-04 10:45:58
73
原创 BUUCTF [web专项17][ACTF2020 新生赛]BackupFile
发现有个文件(flag.php 0B 没东西的),下载/index.php.bak下来(url后面加上即可下载)进去后发现没信息,页面源码也没信息,结合题目,直接扫站(我用的dirsearch)我们只需要上传key和str的数据一样即可。发现提示错误,忽然想到这是用的php。发现str的弱相等可以为123。打开后发现好像是代码审计。
2023-11-04 09:59:22
108
原创 BUUCTF [web专项16][极客大挑战 2019]PHP
2是需要绕过__wakeup的执行(大佬说:在反序列化字符串时,属性个数的值大于实际属性个数时,会。1是username和password都是用private声明的,需要前加00才可。进入后说有备份网站的习惯,查看源码和进入/flag.php中发现都没有线索,扫站。大佬的意思是将修改后的数据序列化输出,然后用序列化输出的数据再次绕过。,这样才会输出flag,那么我们就需要进行修改来篡改成正确的数据。因为我看完之后找不到下手点(我纯笨b) ,开始冲浪别人的wp。(扫了好久,下载出来就关了,我就不再扫一遍了)
2023-11-04 09:40:55
184
原创 BUUCTF [web专项15][极客大挑战 2019]BabySQL
试一遍之后会发现or可能被过滤掉了,因为只有当or的形式变成非连接符的时候才可以通过。其实这题找出来万能钥匙成功登录后就没有想法了,看了一下别人的思路再做就ok了。进入后获得账号密码,用此账号密码进行登录,并在进行的同时进行注入操作。爆库,发现show databases不行,用麻烦点的。发现下面有个flag字段,选择爆数据。测试列数(密码需要自行修改)发现共有三列,开始测回显点。感觉在ctf中,再爆一下表。进入后发现是个登陆界面。查看表Flag下的字段。
2023-11-03 10:46:34
181
原创 BUUCTF [web专项14][ACTF2020 新生赛]Upload
提交后发现需要后缀对应,有后缀检测,那就修改成符合的后缀进行上传,过程抓包再改过来就行。因为我怕有各种过滤,就用上次的upload的一句话代码了(web专项13有)进入后返回根目录即可获取flag。先进入上传点看看是否执行。进入后在这里上传文件。
2023-11-03 09:10:16
234
原创 BUUCTF [web专项13][极客大挑战 2019]Upload
注意:连接密码是你上传的一句话密码里包含的,如果不是按照我的一句话代码的话,需要自行更改连接密码。说是不能是php,估计是看了后缀名,将文件的后缀修改成.phtml试试。大佬说一般默认就是upload目录,有些可以在源代码中看到上传地址。估计php的一句话木马不行了,到这里脑子就烧了,开始网上冲浪。发现了GIF89,即自己的上传文件,可以用蚁剑连一下。老规矩,抓包修改类型为图片类型看看能不能绕过。发现提交后,出现不是图片的错误。估计是有内容的检测,大佬说。好了,成功连接到网站了。上传后,发现还有错误。
2023-11-02 15:41:40
246
1
原创 BUUCTF [web专项12][极客大挑战 2019]Knife
注意:一句话木马已经提示了连接密码是Syc。发现当前目录下没有东西,返回根目录。进入即可获得flag。
2023-11-02 15:02:59
73
原创 BUUCTF [web专项11] [极客大挑战 2019]Http
进入后直接查看源码,右拉发现有超链接直接点击进入会发现是页面源码,退出后手动输入secret.php提示要在这个网站上访问该php这个网址是肯定打不开的(试过了)猜测是需要修改包的数据通过检测直接用burp抓包添加一下访问地址又提示是Syclover这个浏览器修改一下 User-Agent发现需要本地访问,添加X-Forwarded-For出现flag。
2023-11-02 10:54:41
81
原创 BUUCTF [web专项10] [极客大挑战 2019]LoveSQL
再测一下回显点(修改回显点,通过回显获取数据库的具体信息)最有嫌疑的是l0ve1ysq1这个表,爆一下这个表的字段。经过测试(比如左边的1去掉单引号或者单引号换成双引号)注意:这里不能用admin了,否则不会出现回显点。通过2,3两个回显点来爆一下数据库名和版本。注意这里的表名需要用单引号括起来。出现三个字段,再爆一下内容。搜索flag直接出现。
2023-11-02 10:01:36
166
原创 BUUCTF [web专项9] [极客大挑战 2019]Secret File
file前擅自加/,否则会自动跳转到flag.php且查看源码和抓包无任何信息。第二个提示是可以利用文件包含漏洞来获得flag,因为include($file);点击后发现速度太快,根本看不清(我甚至没看到有影子闪过)这里有两个提示,第一个提示是flag在flag.php中。有提示,进入/Archive_room.php。那就回去抓个包看看有什么提示没。进入/secr3t.php。那就直接playload。得到很长的base64码。进入发现没有输入框等。第一个包就发现了提示。
2023-11-02 09:03:51
55
原创 BUUCTF [web专项8] [SUCTF 2019]EasySQL
猜测有过滤,但是不知道过滤的是什么,先猜测过滤了select,用handler试试。来将||从or的含义转换成连接操作符,从而达到输出flag 的目的。(即select 1之后就不执行后面的内容,即flag的内容了)回想到最初输入非0数字会回显1的结果,猜测可能有||符号。输入1发现正常回显,2,3等非0数字也回显1的结果。另外不能闭合,否则不会输出后面的内容。再输入字符或其他符号,发现不再回显。发现依旧错误,猜测是flag被过滤。猜测是数字型,那就先爆库看看。注意这里的1是可以替换的。
2023-11-01 16:41:58
98
1
原创 BUUCTF [web专题7] [强网杯 2019]随便注
实现过程就是让`1919810931114514`的flag字段顶替words的输出内容(data字段)最终获取flag(如果执行后没有直接出flag,可以换成 1' or 1=1;本质就是用handler来代替select命令获取字段的数据。再将表`1919810931114514`修改成words。最后将flag改名为data来实现输出flag。简单来说就是将表words修改成其他名字。题目提示有注入点,进入靶机后先试一下。这里就列出借鉴中两种我喜欢用的解法。注意:数字名的表需要用反引号套着。
2023-11-01 11:06:47
69
1
原创 BUUCTF [web专题6] [GXYCTF2019]Ping Ping Ping
(这里是我写代码保持距离的习惯所以才会有此回显,如果没有这个习惯的话会正常回显查询结果,没有关系的,后面输出flag.php的时候也会有提示空格过滤)确实挺多过滤的,但是基础命令没有被绕过,那就加入变量绕过过滤吧。估计还有很多过滤掉的东西,先去看看index.php有无线索。提示我们用url进行ping ip的操作。输出一下flag.php试试。用${IFS}绕过空格过滤。发现flag也被过滤掉了。进入靶机,发现有提示。
2023-11-01 09:53:59
200
1
原创 BUUCTF [web专题5] [ACTF2020 新生赛]Exec
ping一下0.0.0.0和127.0.0.1,发现两者皆可(后续就用0.0.0.0了)进入靶机,发现要ping ip地址。没有明显提示,查询根目录试试。先查询一下当前目录下有什么。
2023-11-01 09:12:48
53
1
原创 BUUCTF [web专题4] [ACTF2020 新生赛]Include
获得flag{ca23bd0e-1e2c-465f-954f-088efdf6c920}查看两个网页的源码,没有任何发现,题目提示include,猜测是文件包含漏洞问题。网页后缀有提示文件是flag.php。修改后缀后,出现base64码。进入发现只有一个tips链接。点进去,发现只有字符串。简单解释一下当前作用。
2023-11-01 08:53:18
55
1
原创 BUUCTF [web专题2] [极客大挑战 2019]Havefun
cat=dog可能会正确输出flag,试一下。进入发现没有任何按钮或者输入框。右键查看源码,后面有段重要提示。首先想到查看页面源码。
2023-10-31 16:04:50
59
1
原创 [SUCTF2018]followme
出现答案,修改一下提交flag{password_is_not_weak}翻一翻发现没什么线索,打开流量包。个人习惯先分离,看看有什么东西。先搜索关键词SUCTF。
2023-10-31 11:14:22
84
1
原创 BUUCTF zip1
结合提示,可知要将每个zip文件的解压内容拼接在一起进行base64解码。发现是乱码,大概率有问题,先转成16进制用10editor看看。不嫌弃麻烦,可以用crc32-main自行爆破,然后自行拼接。修改成py文件后,放在压缩包文件夹内,用终端打开即可运行。查看属性注释,进行暴力破解,弱口令等试了一遍,毫无头绪。打开任一压缩包后,发现里面的数据文件很小(<6B)发现里面有个flag.txt,那大概率就是压缩包了。打开后,发现内容里面没有flag,但是注释有。发现文件头没有,修改一下头文件。
2023-10-31 10:35:40
386
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人