BUUCTF刷题记录
文章平均质量分 79
Zero_Adam
这个作者很懒,什么都没留下…
展开
-
----已搬运----[蓝帽杯 2021]One Pointer PHP --- PHP数组溢出,Fastcgi FTP - SSRF 攻击 php-fpm - SUID提权 proc
二、学到的&&不足:三、学习WP:给了源码,两个PHP文件:user.php:<?phpclass User{ public $count;}?>add_api.php<?phpinclude "user.php";if($user=unserialize($_COOKIE["data"])){ $count[++$user->count]=1; // 数组$count的第几个属性赋值为1 if($count[]=1){ $us原创 2021-06-11 00:22:06 · 590 阅读 · 2 评论 -
[羊城杯2020]easyphp --- 伪协议的使用时机,---python上传.htaccess的利用 -- preg_match绕过
目录:一. 自己做:二、学到的。不足:三、1. 利用.htaccess来设置文件自动包含2. 绕过 \n 的过滤3. 绕过stristr的过滤。4. 绕过preg_match好像 原题的话,是由声明的,所以我的本地才不行。本题环境只对index.php文件进行解析。并且开头和末尾都对当前目录下的文件进行检查,删除(unlink)除了index.php外的所有文件一. 自己做:源码: <?php $files = scandir('./'); foreach($files a原创 2021-05-18 23:18:02 · 743 阅读 · 3 评论 -
【复习】[网鼎杯 2020 朱雀组]phpweb --- 命名空间绕过黑名单
目录:一、自己做:二、学到的,不足:1. 明明空间绕过黑名单三、看WP两个WPhttps://www.anquanke.com/post/id/205679https://www.freesion.com/article/6379840490/一、自己做:上来就有报错信息,并且页面不断的刷新。Warning: date(): It is not safe to rely on the system's timezone settings. You are *required* to use t原创 2021-05-16 09:28:25 · 441 阅读 · 0 评论 -
【复习】[CISCN2019 华北赛区 Day2 Web1]Hack World -----sql注入
目录:一、自己做:二、 学到的:不足:一、自己做:输入1和2 的时候是有正常的查询结果的。然后输入3的话就超过了。 输入其他的,不是id数字的就直接bool (false)然后fuzz测试:482是给过滤的。过滤了不少,仔细看一下,handler过滤了。像强网杯的那些就不行了。information 被过滤了。可以用那些sys来查找表明,然后用无列名注入就好。limit 被过滤了。要么就union select 要么就不用了。或,与过滤了。可以用 ^异或。空格,注释符,/**/原创 2021-05-16 08:31:07 · 374 阅读 · 0 评论 -
【复习】BUUCTF:[网鼎杯2018]Unfinish --- python爬虫 + re sql注入,substr二次注入,hex二次注入 不用bool注入点的substr
目录:一、自己做:二、学到的三、 学习WPpython爬虫 + re 尝试(尝试思路,):1. substr思路:最后的payloadhex思路:一、自己做:测试,看到用户名有回显,那么就是又一次从数据库中查询数据,可能有SQL注入的可能,然后我在注册用户名的时候,加上了 ',然后就死活注册不了,,也不给我报错,,我在这里也想了一会,,想不明白后来想到了,可能是报错,然后就没执行,然后我用了万能密码来的。用户名:a'1 or '1。你注册成功后,他就会自动跳转到login.php的。然后用邮箱原创 2021-05-04 17:10:59 · 1126 阅读 · 0 评论 -
-------已搬运--------BUUCTF:WMCTF2020]Make PHP Great Again --文件包含 --- require_once php7.4 的trick
一、自己做:代码简单,<?phphighlight_file(__FILE__);require_once 'flag.php';if(isset($_GET['file'])) { require_once $_GET['file'];}用filter读取,能够读取到file=../../../../../etc/passwd。用上filter等等,就是读取不到flag.php。然后我就想到了之前的 文件包含漏洞的。那个上传一个文件,然后包含自己,使得PHP程序运行不完,然后临原创 2021-05-03 21:17:03 · 612 阅读 · 0 评论 -
-----已搬运-------BUUCT:[BSidesCF 2020]Hurdles HTTP 的各种参数学习,,,curl命令学习。。但是我用的是burp,,,%2500
目录:0000、前置知识点:一、自己做 + 学习 WP:二、学到的:三、学习WP:参考自:https://blog.csdn.net/weixin_44037296/article/details/1122984110000、前置知识点:一、自己做 + 学习 WP:然后路径 !结尾,直接加上就行了。这里看了一眼WP。。这个&=&=&是要进行url编码的,因为get获取参数会从这个开始嘛,是另一个参数。需要%00和一个换行符,这个%00我知道,是chr(0转载 2021-04-26 15:26:04 · 257 阅读 · 0 评论 -
BUUCTF:[XDCTF 2015]filemanager —php代码审计 + 文件上传 + sql闭合语句注入数据库 + 二次注入
0、前置知识点:1. pathinfo()转载 2021-04-25 21:35:04 · 667 阅读 · 0 评论 -
-------已搬运------BUUCTF:[RootersCTF2019]ImgXweb --- jwt --寻找secret,easy
目录:一、自己做:二、不足:一、自己做:一个见过很多次的登陆,注册框,登陆后,抓包能够看到jwt,eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiYXNkZiJ9.nqJZ6UZ3eIQ9IbFZajzs0LdGSJJnLAbgpESvVlofrKc解码后:{"typ":"JWT","alg":"HS256"}{"user":"asdf"}Y醷x=!Yj<쐷FHg,ऄVZ登陆进来之后,能上传文件,任意文件都能够上传,但是.htac原创 2021-04-22 08:28:05 · 382 阅读 · 0 评论 -
BUUCTF:[RootersCTF2019]babyWeb -----简单的sql注入, 以及sql注入的思路,sql注入思路
一、自己做:#不好使,就是不报错啊,,,二、学到的:清楚地理解 万能密码,select * from user where name = 1 。 只会返回一行数据,但是,select * from user where name = 1 || 1。就会把所有的数据都返回,然后这时候如果想要一行一行看的化,就需要limit ,0,1这样来看,再试 sql注入思路的化,首选一定是 联合查询注入,使用order by , group by ,union select这些,与之相关联和有双注原创 2021-04-21 18:28:19 · 505 阅读 · 0 评论 -
-------已搬运--BUUCTF:[SWPU2019]Web3 --- jwt 的secret的获取 --- unzip的软练级攻击
目录:000、知识点1.os.path.dirname2. unzip 和下面这个zip一块的,没必要看,遇到题目的时候现搜就行。3. zipfile一、自己做:2.看一看WP二、学到的:三、 学习WP重点,我感觉是 jwt 的 那块是个点, 有乱码之后要寻找secret,然后可用404来获取jwt的secret,再是unzip的软连接攻击这个东西,以前没见过的。学习一下Linux的软连接,然后再来修改修改000、知识点1.os.path.dirnamepython3 获取当前路径及os.pat原创 2021-04-20 20:25:29 · 1180 阅读 · 0 评论 -
-------已搬运--BUUCTF:[FireshellCTF2020]Caas ----观测报错消息
一、自己做:这个报错,,不认识,这是什么编译的东西啊,,二、学到的&&不足:三、学习WP这个后缀是.c的意思就是C语言的源代码,或者是预编译的。Linux中生成的是.out。 然后window里的是exe文件后缀,然后想一下,用C语言的语法来弄一下,,???这个c语言的东西,第一句话就是包含头文件的意思,,,md,C像没学一样。看看报错,说是期望""双引号或者<>尖括号试一试看看...原创 2021-04-20 12:37:33 · 238 阅读 · 0 评论 -
BUUCTF:[CISCN2019 华东南赛区]Web4 ---- jwt的加密,解密 复习 ---- 一个奇怪的 jwt 的secret方法
目录:一、自己做:1.没有思路啦,,2.没有思路啦,,二、学到的&&不足:三、学习WP一、自己做:**注:**没有思路的地方,就是我看WP的地方。解解jwt瞅瞅,有加密的东西,我目前遇到过的jwt解法:弱密钥碰撞,碰撞出密钥来,就可以修改数据了,二:无密钥检测,用python重写一个无验证的jwt,有可能也成功,再是一个进阶的方法:如果是SA256不对称加密的化,我们没办法破解,但是可以用SH256加密的方法巴拉巴拉给弄出来,没遇到过题,然后懒,,没有细细研究,我*???,我正原创 2021-04-19 23:36:27 · 872 阅读 · 1 评论 -
BUUCTF:[XNUCA2019Qualifier]EasyPHP -- 关于.htaccess 的各种配置操作,
目录:一、自己做:二、学到的&&不足:1. python 上传.htaccess时的\\问题2. 关于.htaccess解析错误时3. python 上传 .htaccess时,注释符# 的问题!在字符串中进行传输# 也会当作注释符!!三、学习WP:1. 非预期:2. 预期解2:3. 预期解:参考的文章,看最下面的那两篇就是了总体:这些方法看起来很棒,其实我感觉这都是参赛者当时 细心看PHP文档才发现的,而我辈现在直接看他们的现成的东西,如此巧妙的方法之下,是大佬们细心找到的bug点,原创 2021-04-16 00:10:23 · 1421 阅读 · 0 评论 -
BUUCTF:[红明谷CTF 2021]write_shell --- php 短标签 + 反引号执行 写入马儿的新方法 --- rce,,yi
一、自己做data传入值,然后data过waf()。data的值,就是我们写文件的内容,应该就是写马儿了。过滤了php的话,考虑短标签把,然后eval没了,assert或者exec其他的应该都大差不差。然后就卡壳了,,本地环境打好了,,但是 assert或者exec这些不会用。。看WP了二、学到的PHP短标签:<?php @eval($_POST['a']);?>可以用<?=@eval($_POST['a']);?>代替,PHP短标签关于PHP的??这个东西:讲原创 2021-04-12 22:59:12 · 1378 阅读 · 0 评论 -
BUUCTF:[CSAWQual 2019]Web_Unagi -- xxe 简单的外部实体bypass ,编码绕过,
二、学的的这个好像是xxe的那啥,默认技巧吧,,utf8上传说有waf,然后就换成utf16进行上传最近做的xxe的题,都是简单的每waf的。外部实体注入就好了,,,注意,如果,system的命令 file:///flag。不好使的时候,还可用 PHP的伪协议来做,php://filer/这些来,到时候多试试就好了三、 WP初末看一下iconv命令吧,总不能一个题什么都没学到东西啊,语句:iconv -f utf8 -t utf16 test.xml -o aaa.xml这个语句弄上原创 2021-04-08 15:09:59 · 642 阅读 · 0 评论 -
---已搬运----BUUCTF:[HFCTF2020]BabyUpload sess_ file_exist()可 检测 目录和文件 。 sha256加密, PHP代码审计
目录:一、自己做:1. 本地先试一试1. direction = upload & attr != private2. direction == upload & attr ==private3.direction=download & attr = (private)已经存在的 & filename =必须是完整文件名4.direction=download & attr = (not-private)已经存在的 & filename =必须是完整文件名2.原创 2021-04-08 12:52:32 · 495 阅读 · 0 评论 -
BUUCTF:[ISITDTU 2019]EasyPHP --- rce 超级异或,,,吐了,,,字符之间异或, 成型的异或payload!!!
目录:一、自己做:二、学的的三、学习WP1. 这里先来个不限制字符个数的关于这个%ff 以及异或的事情,咱们好好唠唠1.生成异或中间值的python脚本2. 看有字符限制的时候,:!!干了,,发现了一个更好多python脚本,,接着做题~。一、自己做:<?phphighlight_file(__FILE__);$_ = @$_GET['_'];if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) ) di原创 2021-04-06 23:29:07 · 1478 阅读 · 4 评论 -
[RootersCTF2019]I_<3_Flask --- sql注入新方法:---‘0’+‘0’的奇怪方式来做 --- 二次注入--hex双重编码- 16进制---ascii也可以的
一、自己看WP后写脚本我连注册登陆的脚本都写不好,,,写了半天,最后的那个submit不用管,直接就登陆了,然后每次要换一次 邮箱 和 账号import requestsregister_url="http://f22e5570-b535-4c98-9bb4-62b097db515b.node3.buuoj.cn/register.php"login_url="http://f22e5570-b535-4c98-9bb4-62b097db515b.node3.buuoj.cn/login.php"原创 2021-04-04 09:32:48 · 593 阅读 · 0 评论 -
BUUCTF:[安洵杯 2019]不是文件上传 -- sql注入,PHP反序列化,sql16进制 单引号问题,
目录:一、自己看着源码+WP复现一、自己看着源码+WP复现这周写了个上传下载文件的网站后,再做这种 文件上传相关的题目时就轻松多了,,至少代码是干什么的能看明白了,其实数据库的键值是什么也看了有一会儿才看出来,然后才在本地复现的。create database pic_basecreate table images(title varchar(100),filename varchar(100),ext varchar(100),path varchar(200),attr varch原创 2021-04-04 09:17:22 · 384 阅读 · 0 评论 -
--------已搬运--------[NPUCTF2020]ezinclude - 文件包含 --- php7 漏洞 --。string.strip_tags SegmentFault
目录:一、自己做:二、不足:三、 学习WP:新知识!!!string.strip_tags一、自己做:0入门,,连接:https://buuoj.cn/challenges#[NPUCTF2020]ezinclude二、不足:看到刚开始的提示就蒙了,没有想到传参这么简单看到了include,文件包含的漏洞,第一时间没有想到用php的伪协议去读取文件,,,除了filter等等,zip也可以上传木马的呀,这个别忘了,,,三、 学习WP:看到这个,像md5拓展攻击,然后抓包看一下,一看,原创 2021-03-27 23:41:26 · 698 阅读 · 0 评论 -
-----已搬运-------BUUCTF: [网鼎杯 2020 白虎组]PicDown --- proc文件的利用, --- python反弹shell ---- python代码审计
参考自:whoami大佬的一、自己做:我自己做的时候,没有想找个文件目录穿越,用那些伪协议,来了个便,然后127.0.0.1的ssrf也尝试这些都是些啥啊!!!/proc/self/environ/proc/self/cmdline二、学到的&&不足:当看到url中有?file= ... 的时候,当然是想到文件包含balabala之类的。同时还可能用PHP伪协议,php://filter啦,或者本地的直接file://,找个file还可以加空格绕过过滤哦,之前有个题做过的,原创 2021-03-17 12:06:24 · 1198 阅读 · 2 评论 -
BUUCTF:[GYCTF2020]Ezsqli --过滤了information_schem ------ 无列明注入之过滤了union 使用ascii偏移来做
一、自己做:直截了当的sql注入,先用fuzz字典跑一下:information_schema.table等被过滤了,而且union 也被过了,尝试了 || 和&& 等没有过滤,并且strsub,limit等都没有过滤,初步判断盲注应该时可以的。但是 information_chema等被过滤了,表和 列都查不出来,二、学到的&&不足:当information_schema等被过滤的时候,能够查出数据库的名字,但是表明不知道,这时可以用这个来sys.schem原创 2021-03-15 20:45:58 · 1357 阅读 · 0 评论 -
BUUCTF:[NCTF2019]SQLi --sql正则注入 ---- regexp注入 --- sql 闭合的新的骚操作 --PHP版本的%00截断
目录:一、自己做,二、学到的:三、学习WP:1.盲注,这个讲正则注入原理比较细致,有mysql的本地实验这个有一道例题一、自己做,fuzzing了,但是没有思路,给我这么一句话:try to make the sqlquery have its own results.后来发现没用,二、学到的:mysql正则注入 regex一个新的sql闭合方式,妈呀,骚的很,至少对于我这个菜鸡才说是开了眼界了,,,牛你牛后面看看sql注入时,当注释符和单引号都被过滤了的时候,我们不能够闭合语句了,原创 2021-03-15 20:19:47 · 972 阅读 · 1 评论 -
---------已搬运-------BUUCTF:[BJDCTF 2nd]xss之光 ------------ 反序列PHP原生类的应用 -----------git小操作
目录:一、自己做:二、不足&&收获三、学习WP一、自己做:就到源码泄露那里,而且我自己也不会git操作。。。-<?php-$a = $_GET['yds_is_so_beautiful'];-echo unserialize($a);二、不足&&收获进一步晓得了 PHP 反序列化中的原生类的应用alert(1)不行的时候,多试试别的。什么弹cookie 啊。跳转网页啊。都试试三、学习WP没有类的情况下,可以进行原生类反序列化参考文献:反序列化原创 2021-02-25 17:15:39 · 194 阅读 · 0 评论 -
---------已搬运-------BUUCTF:[BJDCTF2020]EasySearch ----- ssi注入漏洞
目录:一、自己做:二、不足&&学到的三、学习WP一、自己做:二、不足&&学到的三、学习WP原创 2021-02-25 13:05:40 · 290 阅读 · 0 评论 -
BUUCTF:[SWPU2019]Web1 sql注入 MariaDB注入--无列名注入-group_concat ---- /**/---group by ----- 3.9修改
目录:一、自己做:二、不足&&学到的:三、学习WP1.测试看看过滤了那些关键字,(这里要多看看,学学)2.使用无列名注入:这里稍停一下:3.下面学习无列名注入:无列名注入详解:无列名注入详解参考自:本题目的详解写博客只是为了输出学习而已,无他一、自己做:发现了 那个广告的地方可能有漏洞二、不足&&学到的:尝试了ssti。却忘记了尝试sql注入。。。过滤了order的时候,可以用group by 来测试有多少行单引号闭合,正常闭合会出错的话,可以,原创 2021-02-24 19:32:43 · 3670 阅读 · 1 评论 -
---已搬运--:[0CTF 2016]piapiapia -----代码审计+字符串逃逸+数组绕过长度限制+以及一下小知识点 preg_match()用数组,而且注意if是正确判断,还是错误判断
目录:一、知识点:1.url传入数组绕过长度限制??2.数组的遍历3.数组绕过正则二、我自己的做题尝试:三、不足:四、学习WP1.学习一个大佬的思路:2.学习 另一个大佬的思路 ---这个过于跳跃,看上一个把,,五、思路学完了,自己做做看看。一、知识点:1.url传入数组绕过长度限制??就是判断你输入字符串不能够太长的时候,用数组可以进行绕过;2.数组的遍历两种遍历方法foreach(array_expression as $value)foreach(array_expressio原创 2021-02-22 16:24:11 · 465 阅读 · 0 评论 -
------已搬运-------xxe入门学习--------BUUCTF:[NCTF2019]Fake(True) XML cookbook---------jarvisoj的API调用
目录:一、XML基础知识:二、应用场景:例题:1. buu的[NCTF2019]Fake XML cookbook2. jarvisoj的API调用一、XML基础知识:这两个都不错https://blog.csdn.net/gavin_john/article/details/51532756https://blog.csdn.net/bylfsj/article/details/101441734这个就离谱。直接xxe全部学完了,学精通了,,暂时不用看这个,,https://xz.aliyun原创 2021-02-16 10:54:09 · 451 阅读 · 0 评论 -
------已搬运-------BUUCTF:[BJDCTF 2nd]假猪套天下第一-----------Header请求头学习!!!
了解这个:Header:请求头详解。就全都会了。就,,不足:1.tmd。抓包瞎jb抓,有登录页面,不知道抓包的时候输入参数,抓输入参数的时候的包,我真吐了,,,哎,怎么能这么傻啊,我就说。WP抓对包了终于。进来之后,是这样的没思路,看WP。说把time修改大了,就变了???这尼玛猜出来ide?????哦,还是我粗心了,,看他说的嘛,99年之后才能访问,那就把time改的久一点就好了啊,,,,哎,,,,我的锅。。。这个easy现在变成了需要使用Commodo 64浏览器,原创 2021-02-15 19:23:51 · 428 阅读 · 0 评论 -
BUUCTF:[网鼎杯 2020 朱雀组]phpweb-------细致猜测,绕过黑名单,
目录:缺点&&不足WP方法一、反序列化绕过方法二:命名空间绕过黑名单:缺点&&不足抓包不细致,这个题,我抓到了第一个包,没有看到第二个包。没有注意到data可能是个函数,没有进一步去网上查找函数,要时时刻刻注意warning的字样,注意报错信息WP抓包,貌似,date是个函数啊。随便一改,又有报错,而且是 call_users_func。这个在做那个啥杯的时候学习过了,不错的函数还是先复习一下call_users_func怎么用吧,,这不就找到了么。只写原创 2021-02-15 18:29:08 · 446 阅读 · 1 评论 -
BUUCTF:[De1CTF 2019]SSRF Me ------(代码审计&&哈希拓展长度攻击&&代码审计明白之后的另一种方法)
目录:一、不足:二、注意事项三、看WP:1. 哈希拓展长度攻击2.字符串拼接一、不足:真·什么也不会。。代码审计吧,,不会代码审计,对python很不了解,,,刚看代码的时候,真的没有一句能够看懂的。。不行就以后看看少用burp,多用pyt脚本练练python看看,代码审计拉得很,,,二、注意事项盐的长度,通常不会是题目所给的盐的长度,这点要注意。三、看WP:1. 哈希拓展长度攻击啥啊这是,,是个python的flask。但是怎么看啊这,,,#! /usr/bin/env原创 2021-02-15 17:00:32 · 482 阅读 · 0 评论 -
BUUCTF:[BJDCTF 2nd]fake google-----有总结的py3的payload----py3的SSTI
目录:一、学会的新东西:二、开始WP先判断类型三、warnings.catch_warnings模块入手找到我们要找的模块四、在尝试另外一个模块注入点好找的很,不多说。开头的不了,都会,问题是找到我们要利用的模块在哪里这个才是重点。。绕过的还是先不急,一步一步打好基础,碰到绕过的题的时候再说一、学会的新东西:py2,py3都适用的查找模块位置的payload,,(这个真的我吐血弄了半上午才弄出来的。你要是采纳了的话,记得点个赞哦!!!里面还有班长的智慧结晶呢)知道了py3的ssti主要是原创 2021-02-14 16:42:56 · 138 阅读 · 1 评论 -
------已搬运-------BUUCTF:[GWCTF 2019]我有一个数据库------phpMyAdmin漏洞学习
[GWCTF 2019]我有一个数据库目录[GWCTF 2019]我有一个数据库一、参考:二、从里面摘抄了一些东西:1.读取phpinfo----(任意文件读取)2.写入shell3.直接包含session文件4.为什么,phpMyAdmine在检查的时候,要用?来进行那个匹配呢?三、声明几点:四、下面是给这个BUU的题的。就那个我有一个数据库的那个一、参考:CVE-2018-12613Phpmyadmin后台 任意文件包含漏洞复现CVE-2018-12613复现二、从里面摘抄了一些东西:1.读原创 2021-02-14 07:44:00 · 462 阅读 · 0 评论 -
BUUCTF:[BJDCTF2020]ZJCTF,不过如此 && 攻防世界web之ics-05 -- -preg_replace + /e 的任意代码执行漏洞
不足:在文件包含那里卡住了,想着flag.php还是next.php10多分钟后才想到可以用filter协议来读么,,,等一会看看能不能用data协议来读去???这个可以的:index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php看到正则+str_replace,+ e 修正符,想到的是RCE!?!!。知识点:/e模式的preg_repl原创 2021-02-13 23:37:36 · 351 阅读 · 0 评论 -
BUUCTF:[GXYCTF2019]禁止套娃&&无参数RCE入门
[GXYCTF2019]禁止套娃想仔细了解?R的话,可以看看这个理解正则表达式中的(?R)递归原创 2021-02-10 19:43:03 · 527 阅读 · 0 评论 -
BUUCTF:[ZJCTF 2019]NiZhuanSiWei 1
BUUCTF:[ZJCTF 2019]NiZhuanSiWei 1水文,给自己做点记录这个简单,但是我没做出来,,辣鸡!就是一个简单的伪协议的应用,源码自己去看没有做出来的原因想PHP伪协议,没有想全对文件包含不够敏感就做到这一步,主要是useless.php我没用到啊,里面的flag在什么变量里面我也不知道,里面有什么类我也不清楚。。。不行,看WP了,,--------------------------------------------------分割线-----------原创 2021-02-07 08:37:47 · 236 阅读 · 0 评论 -
------已搬运-------(持续更新,)PHP反序列化的一下思路总结,主要还是怕自己以后又健忘成了傻逼,,,(持续更新,)
POP链的构造:这个比较淳朴吧,就先找到读取文件的点,然后顺着理就好,哪个类又该方法就先用哪个类我现在也不会分类啊,,其他的:PHP版本>7.1的对属性的类型不敏感,private protected public都一视同仁。有个青龙组的题,就是过滤了不可见字符,本来pirvate和protected都有private:%00类名%00实例名,protected:%00*%00实例名,就可以用public直接搞定同样对上面那个情况sdf s:5:%00*%00adam,绕过不..原创 2021-02-06 15:01:11 · 100 阅读 · 0 评论 -
------已搬运-------BUUCTF:[安洵杯 2019]easy_serialize_php 1(extract,字符逃逸 session反序列化的另类~.~ )
学到的extract的覆盖数组的操作比如能够覆盖SESSION这个全局数组!看phpinfo时的注意点代码审计的能力字符串逃逸,之前还有一条路可以走,但是后来发现走不通,不过也是个好思路劝像我一样的rookies。本地自己实验很重要,那些大佬们的payload也是不知实验了多少次才出来的。本地实验的多了,自己也就明白了源码+我的一些注释源码多看几遍,找找思路,灵感<?php$function = @$_GET['f'];function filter($img){ $f原创 2021-02-06 14:39:23 · 630 阅读 · 0 评论 -
------已搬运-------BUUCTF:LCTFbestphp‘s revenge
我弄这个题一整天了,晚上不出意外的话还得看,先这样吧。。里面还有很多疑问点,希望能有大佬指点要用到的很多很多的知识点,,,sesion反序列化–>soap(ssrf+crlf)–>call_user_func激活soap类(抄袭的,我哪能总结出来啊,,,)call_user_func函数这个我自己总结的,看看自己写的extractextract()函数,从数组中把变量导入当前页面,相同的变量会被覆盖。所以下面的b=extract,同时$POST是一个数组,所以符合reset(原创 2021-02-01 16:17:39 · 523 阅读 · 0 评论