- 博客(238)
- 收藏
- 关注
RSS订阅
原创 XCTF-攻防世界CTF平台-Web类——14、supersqli(SQL注入、关键词过滤)
目录标题方法一、堆叠注入1、rename修改表名和alter change修改列名2、rename修改表名和alter add添加列名方法二、handler语句方法三、预编译打开题目地址之后搜索:1’ or 1=1#成功返回了3条数据,说明存在SQL注入漏洞之后先判断有几列数据,使用order by 1让返回的数据按照第一列排序:1' or 1=1 order by 1 #返回了正确的结果,并且按照第一列排序了,说明至少存在一列数据。其实我们也可以直接从order by 2让返回的数据
2021-11-27 22:06:51
1895
原创 XCTF-攻防世界CTF平台-Web类——12、Web_python_template_injection(SSTI服务器模板注入、Flask框架之Jinja2模板渲染引擎)
目录标题模板引擎SSTI服务器模板注入python模板注入Flask应用框架Jinja2模板渲染引擎Python中常用于ssti的魔术方法获取基类的一些方法获取基本类的子类四种方法读取flag(1)site._Printer类调用os.popen函数执行任意命令(2)site._Printer类调用os.listdir函数执行查看本级目录下的文件(3)catch_warnings类的linecache函数执行任意命令(4)遍历基类找函数执行__import __("os").popen("ls").read
2021-11-26 23:00:56
1287
原创 XCTF-攻防世界CTF平台-PWN类——1、Mary_Morton(格式化字符串漏洞、缓冲区溢出漏洞)
目录标题一级目录二级目录1、查看程序基本信息2、反编译程序3、攻击思路(1)先利用功能2格式化字符串漏洞(2)找到功能1的sub_400960()函数返回地址的位置方法二一级目录二级目录1、查看程序基本信息Mary_Morton程序,先用file查看:Linux下64位的ELF文件再用checksec查看程序开启了Partial RELRO、NX和Canary,没有PIE。程序开启了canary,就不能直接利用栈溢出覆盖返回地址了。因为在初始化一个栈帧时在栈底(stack overflow
2021-09-09 22:20:50
1211
1
原创 逆向工程实验——pre6(汇编、Android逆向、RSA算法破解)
这里写目录标题一、 阅读然后回答2个问题二、阅读三、阅读复现过程1、先在android模拟器上安装好CrackMe1.apk文件,2、用apktool将CrackMe1.apk反编译:3、接着我们要从apk中提取.dex文件3.3、代码分析四、 (2选1,原理一样的)MTC3 Broadcasting and low exponent — RSA-Attackcoding=utf-8得到16进制的明文输出数字将数字转换为对应的Base64字符sys.stdout.write(chr(num))Base64解
2020-11-30 17:00:55
2562
原创 bugku-逆向-13、Take the maze(VC++32位逆向、IDC脚本使用)
文章目录一级目录二级目录1、IDA静态分析2、主函数分析3、OD动态分析4、关键sub_463480函数分析(1)byte_541168数组分析(2)迷宫游戏的方向和形状5、脚本寻找路径6、路径转换得到flag一级目录二级目录首先下载运行ConsoleApplication1.exe:是需要输入一个字符串或者数字之类的之后PEid查壳:32位的控制台程序,没有壳。1、IDA静态分析再用IDA打开静态分析,找到main函数,按F5反编译:main_0函数带注释的源代码:__int64
2020-10-25 00:44:46
2295
原创 bugku-逆向-12、Mountain climbing(Win32位逆向、UPX脱壳)
文章目录1、脱UPX壳2、IDA反汇编静态分析3、伪随机数组4、第一次错误的思路(没有考虑完整)5、没有考虑的sub_41114F函数6、OD动态分析7、得到真正的flag8、继续的仔细分析(sub_411750函数)9、关键的sub_411900函数10、正确完整的代码首先下载运行ConsoleApplication2.exe:发现是输入一个字符串或者数字,错误就输出“error”.1、脱UPX壳然后用PEiD查壳:发现有UPX的壳,再用Upx静态脱壳机脱壳:2、IDA反汇编静态分析
2020-10-17 23:01:12
3680
11
原创 bugku-逆向-10、SafeBox(NJCTF)(Android逆向)
文章目录一、反编译查看源代码二、源代码分析三、方法1:正向暴力破解四、方法二:按照筛选条件,逐步缩小范围先下载软件,发现是个安卓的apk安装包,安装之后打开:一、反编译查看源代码只有一个输入框,其他的点不了。应该是要输入某个字符串然后判断是否正确,之后返回flag。打开apk反编译:发现有两个Activity,而且代码高度相似,查看AndroidManifest.xml:多个Activity可以显示多个不同的界面,setContentView就是设置一个Activity的显示界面,使用s
2020-09-29 23:10:02
7325
原创 bugku-逆向-9、easy-100(LCTF)(Android逆向)
文章目录一、反编译代码具体分析二、程序流程图三、逆向代码分析四、完整的Java代码五、代码运行结果六、完整的Python代码七、代码运行结果一、反编译代码具体分析二、程序流程图三、逆向代码分析四、完整的Java代码五、代码运行结果六、完整的Python代码七、代码运行结果一、反编译代码具体分析下载easy-100(LCTF).apk,最好用JEB打开反编译,其他的软件反编译出来的代码会有一些不同,影响代码的可读性。(1)、首先是MainActivity.class的代码:package
2020-09-27 21:32:36
5928
2
原创 逆向工程实验大作业——bugku-逆向-8、LoopAndLoop(阿里CTF、Android逆向)
LoopAndLoop(阿里CTF)[ LoopAndLoop ]The friendship between native and dex.下载LoopAndLoop.apk在安卓模拟器中打开:题目要求输入一串数字,随便输入字符串HYH时会显示:Not a Valid Integer number。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Dci3VX7o-1598509986233)(media/image1.png)]{width=“5.767361111
2020-08-28 14:03:59
10831
原创 bugku-逆向-4、游戏过关(4种简单的方法介绍)
题目是个consoleapplication4.exe,运行一下:是一个游戏:n是灯的序列号,m是灯的状态如果m (n) = 1,它是开着的,如果不是,它是关着的起初所有的灯都关着现在你可以输入n来改变它的状态但是你要注意一件事,如果你改变N灯的状态,(N-1)th和(N+1)th的状态也会改变当所有的灯都亮着的时候,flag就会出现现在,输入n。就是输入一个1到8之间的数,例...
2019-04-20 11:10:22
13385
7
原创 sql-labs SQL注入平台-第5关Less-5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入)
Less-5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入)
2023-09-03 14:08:07
303
原创 sql-labs SQL注入平台-第4关Less-4 GET - Error based - Double Quotes - String (基于错误的GET双引号字符型注入)
Less-4 GET - Error based - Double Quotes - String (基于错误的GET双引号字符型注入)发现我们输入的id值被括号(“”)包围起来了,这样导致我们输入的值都会被当作括号里的id,且两边被双引号包围。其他的步骤就和第3关类似了。成功使用union联合查询。
2023-09-03 13:46:19
230
原创 mac出现java程序运行版本不一致
不过这次原因是编译这个jar包burpsuite_pro.jar用的java运行时环境是61.0,而我现在电脑上的java运行时环境是52.0。JDK环境变量生效之后,当前终端会立即生效,如果之前同时打开了多个终端,其他终端可能还是修改之前的环境变量JDK版本,重启终端之后就好了。所以也就是编译burpsuite_pro.jar用的JRE是java9,而我现在电脑上的java运行时环境是java8,用命令查看一下。和前面的原因类似,也再次证实这个报错问题是由JRE编译、运行环境不一致引起的。
2023-08-13 15:36:24
714
原创 sql-labs SQL注入平台-第3关Less-3 GET - Error based - Single quotes with twist string (基于错误的GET单引号变形字符型注入)
Less-3 GET - Error based - Single quotes with twist string (基于错误的GET单引号变形字符型注入)查看源代码发现我们输入的id值被括号(‘’)包围起来了,这样导致我们输入的值都会被当作括号里的id。成功使用union联合查询。
2023-05-28 16:10:53
172
原创 sql-labs SQL注入平台——第二关Less-2 GET - Error based - Intiger based (基于错误的GET整型注入)
只返回了2、3说明,后端从数据库中执行SQL语句select 1,2,3;只在前端显示了第2、3个字段,所以我们能看到的就只有第2、3个字段,就要把注入点放在第2、3个位置上。查询id为0的用户肯定是没有返回结果的,这样返回的就只有union联合查询的第二个查询 select 1,2,3;得到security数据库中的表emails,referers,uagents,users。返回结果错误:没有第4列数据,说明只存在三列数据。查询,返回结果按照前4列数据排序。(3)查询当前数据库的名称。
2023-05-28 15:49:22
1479
原创 sql-labs SQL注入平台-第1关Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入)
记得把php.in中的转义参数magic_quotes_gpc配置成Off不然发送的请求参数中的符号会被加上\转义,从而无法直接拼接到SQL语句中去。
2022-07-25 21:32:04
1366
1
原创 零号培训平台课程-2、SSRF基础
•操作Redis、Memcached、fastcgi、mysql等。Python代码生成gopher协议报文写入webshell。绕过的方法有多种,1、把IP地址转换成10进制、16进制。找到写入的shell.php和flag。•分布型的文件搜集获取网络协议。连接目标webshell。•本地文件传输协议。•Gopher协议。......
2022-07-25 21:18:30
802
原创 零号培训平台课程-1、SQL注入基础
mysql中的information_schema结构用来存储数据库系统信息information_schema结构中这几个表存储的信息,在注入中可以用到的几个表。SCHEMATA存储数据库名的,——>关键字段SCHEMA_NAME,表示数据库名称TABLES存储表名的——>关键字段TABLE_SCHEMA表示表所属的数据库名称;——>关键字段TABLE_NAME表示所属的表的名称COLUMNS存储字段名的——>关键字段COLUMN_NAME表示字段名。......
2022-07-24 20:31:31
601
1
原创 零号培训平台课程-4、 CSRF
核心知识所谓CSRF漏洞,就是通过浏览器的cookie机制,通过诱骗用户点击包含恶意Javascript代码的HTML页面,在用户不知情的情况下,触发对关键接口的调用。CSRF漏洞的利用前提是:o用户已登录网站o网站的关键API接口没有对CSRF做防御o用户点击访问了攻击者的网页CSRF漏洞的利用方式是:oGET请求:img标签src=属性;oPOST请求:form表单,配合Javascript代码自动提交表单CSRF漏洞的检测方式是:o检查请求中是否包含随机token内容o修改token,检查接口
2022-07-10 22:38:18
1077
原创 XCTF-攻防世界CTF平台-Web类——18、favorite_number(命令注入)(php5.5.9整数溢出、preg_match正则表达式绕过)
目录标题方法1:ls -i方法2:定义变量输出方法3:写到文件输出方法4:``和$()命令替换打开题目地址:提示了源代码,以及php版本是5.5.9 <?php//php5.5.9$stuff = $_POST["stuff"];$array = ['admin', 'user'];if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^
2022-01-15 15:32:24
3436
原创 本地vulfocus添加漏洞镜像
打开镜像管理:点击添加:有4种添加方式首先是文本,直接在镜像搜索框输入文本,搜索你要添加的漏洞:选择对应的镜像,填写其他信息:之后点击提交就会开始下载:下载完成之后就可以使用了。也可以直接右上角的一键同步,它会同步所有的漏洞,但是不会自动下载每一个漏洞,需要你手动下载:其他的添加方式还有先从官网上下载好漏洞安装包,然后手动导入文件:在docker容器中下载好漏洞镜像之后,在这里能够看到:例如:docker pull vulfocus/log4j2-rce-2021-12-
2022-01-11 22:48:30
8522
原创 Docker运行vulfocus漏洞靶场
目录标题(1)、docker安装(2)、部署vulfocus环境Docker运行vulfocus漏洞靶场搭建vulfocus漏洞靶场(1)、docker安装1.使用官方安装脚本自动安装安装命令如下:c0url -fsSL https://get.docker.com | bash -s docker --mirror aliyun也可以使用国内daocloud一键安装命令:curl -sSL https://get.daocloud.io/docker | sh2.安装完成之后启动dock
2022-01-11 21:22:10
8772
原创 用vulfocus靶场环境复现Log4j2远程命令执行漏洞
声明:文章所提供的内容和工具仅供于个人学习和研究,严禁传播者利用本文章的相关内容进行非法测试。由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。用vulfocus启动一个靶场环境,Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性.
2022-01-05 21:42:15
2858
原创 XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)
查看题目:提示:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统,可能和后门程序有关,位置在工控云管理系统的设备维护中心打开题目地址:查看页面源代码:只有设备维护中心的链接点击会跳转到index.php:显示:数据接口请求异常再查看index.php的源代码:在云平台设备维护中心处有一个链接?page=index点击之后:它以GET方式提交page变量的值为index,后端index.php处理之后返回index。传入page=123456,返回123456所以我
2022-01-01 19:25:52
2775
原创 XCTF-攻防世界CTF平台-Web类——19、mfw(.Git源代码泄露、php的assert断言)
打开题目地址:是一个作者用php写的网站在About页面,作者介绍他使用了Git、PHP、Bootstrap之后我们查看页面源代码:在每个页面的注释里都有一个隐藏页面:?page=flag,提示flag应该就在这个页面。我们也注意到home、contact和about页面都是通过访问index.php页面以GET方式的page参数来跳转页面的:?page=home、?page=contact、?page=about。所以我们直接访问:http://111.200.241.244:60434
2021-12-11 20:58:32
3590
1
转载 WEB安全-常见源码泄露
目录标题0x0 前言0x1 .git源码泄露0x2 .svn源码泄露0x3 DS_Store 文件泄露0x4 .hg 源码泄露0x5 常见编辑器备份文件泄露0x6 WEB-INF/web.xml泄露0x7 网站备份文件泄露0x8 cvs文件泄露0x0 前言关于WEB安全,这两天做题碰到了.git源码泄露的问题,刚好自己又记得不牢,所以写了个笔记,记录下关于常见的源码泄露。0x1 .git源码泄露当在一个空目录执行 git init 时,Git 会创建一个 .git 目录。 这个目录包含所有的 Git
2021-12-11 20:58:06
795
原创 XCTF-攻防世界CTF平台-Web类——16、shrine(Flask框架之Jinja2模板渲染引擎、查看app.config[‘FLAG‘])
目录标题python模板注入代码分析:构造Python模板注入url_for()函数查看flagget_flashed_messages()函数查看flag打开题目地址:这是Python的flask渲染模板python模板注入python模板注入漏洞的产生在于Flask应用框架中render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串,而且Flask模板中使用了Jinja2作为模板渲染引擎,{{}}在Jinja2中作为变量包裹标识符,在渲染的时候将{{}}包裹的内
2021-12-11 20:55:51
1483
2
原创 XCTF-攻防世界CTF平台-Web类——15、easytornado(SSTI服务器模板注入、Tornado 框架render渲染函数、MD5加密)
目录标题找到注入点查看tornado的官方文档得到cookie_secret的值计算md5值得到flag打开题目地址:题目描述使用了Tornado 框架,Tornado是Python的一种 Web 服务器软件框架。有三个文件,分别查看:提示flag所在的文件/fllllllllllllag,url中GET方式提交了2个参数:filename=/flag.txt&filehash=6d9ebcb83324409e048e0d8086173713提示使用了render函数,由于rend
2021-12-11 16:29:58
2655
1
原创 XCTF-攻防世界CTF平台-Web类——13、Web_php_unserialize(php反序列化漏洞绕过__wakeup()函数、正则表达式)
打开题目地址:这也是一个php反序列化的题目源代码:<?php /*** 定义一个demo类*/class Demo { # 初始化$file变量的默认值是index.php private $file = 'index.php';# 类初始化的时候的构造函数,初始化当前对象的页面 public function __construct($file) { $this->file = $file; }# 对象销毁之前的析构函数,高
2021-11-27 12:33:37
1034
原创 XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)
目录标题(1)把οnchange="check();去掉(2)禁用浏览器的JS脚本运行(3)Burp Suite抓包修改文件后缀名POST方法一句话木马GET方法一句话木马蚁剑连接打开题目地址:是一个文件上传的题目选择一个一句话脚本上传:前端存在JS代码校验文件类型,如果上传的文件后缀不是jpg和png,就会让上传按钮变得不使能:要绕过前端的JS代码校验,常见的方法有:(1)把οnchange="check();去掉可以直接把οnchange="check();去掉,这样提交文件的时候就
2021-11-23 21:42:02
4453
原创 XCTF-攻防世界CTF平台-Web类——10、unserialize3(反序列化漏洞绕过__wakeup()函数)
打开题目地址:发现是一段残缺的php代码题目名称unserialize3就是反序列化,要求我们通过反序列化漏洞绕过__wakeup()函数。相关概念:序列化: 序列化(Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。php的序列化和反序列化 php的序列化和反序列化由serialize()和unserialize()这两个函数来完成。s
2021-11-21 22:41:16
2353
原创 XCTF-攻防世界CTF平台-Web类——9、PHP2(.phps文件、url编码)
先查看题目地址:希望我们获得这个网站的权限,查看源代码也没有其他信息:查看index页面:之后尝试查看index.phps文件(.phps文件就是php的源代码文件,通常用于提供给访问者查看php代码):phps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所以需要用phps文件代替。其实,只要不用php等已经在服> 务器中注册过的MIME类型为文件即可,但为了国际通用,所以才用了phps文件类型。 它的
2021-11-21 20:03:23
1436
原创 XCTF-攻防世界CTF平台-Web类——8、NaNNaNNaNNaN-Batman(JS代码加密)
目录标题方法一、通过输入得到flag方法二:直接计算得到flag下载附件,查看:是一段乱码的JS代码我们把文件后缀改成.html文件,在浏览器运行看一下代码效果:一个输入框和“OK”按钮,输入“11”之后点击按钮没有反应,应该是没输入正确的字符串,查看源代码由eval()函数来执行前面的字符串“”指向的函数eval()函数:可计算某个字符串,并执行其中的的JavaScript 表达式、变量、语句或语句序列我们可以把用alert()函数或者console.log()函数之类的,把“_”的值
2021-11-21 18:59:58
1388
原创 XCTF-攻防世界CTF平台-Web类——7、NewsCenter(SQL注入)
目录标题手工注入information_schema.columns 学习sqlmap工具注入:打开题目地址:只有一个搜索框,下面是几条消息,上面输入关键词可以搜索这几条消息,可能就是存在SQL注入漏洞:在后面加入’ or '1 = 1恒成立的判定条件:a ' or '1 = 1搜索结果变成了所有的消息,应该就是存在SQL注入手工注入之后我们在后面拼接order by,来查看表中有多少列,查询结果按照前1列排序(第一个’闭合后台命令的第一个’,#注释掉后台的第二个’):' order
2021-11-19 22:59:46
1659
原创 XCTF-攻防世界CTF平台-Web类——6、warmup(php中include函数遍历漏洞)
打开题目地址:标题栏是Document,只有一张图片,所以我们审计源代码:有一个source.php打开:有一段判断页面的代码,还有一个hint.php提示flag在ffffllllaaaagggg中,应该是另一个文件中,直接访问ffffllllaaaagggg文件是不存在的:所以我们继续看source.php中的代码:<?php highlight_file(__FILE__); class emmm { public static fu
2021-11-15 23:02:22
1405
原创 XCTF-攻防世界CTF平台-Web类——5、ics-06(抓包暴力破解)
题目提示:打开题目地址:是一个工控云管理系统,左边的栏目中只有“报表中心”的按钮是有一个链接可以点的,其他的都是摆设,这个可以查看源代码发现:点击“报表中心”的按钮查看:是一个查询指定日期的页面,照样查看源代码:没有别的链接页面了,那flag应该就在这个页面的功能选择日期,点击确认按钮之后也没有反应:突然发现浏览器地址栏http://111.200.241.244:51918/index.php?id=1,开始猜测是SQL注入结果不是,后来才知道是id暴力破解。直接用BP抓包
2021-11-14 21:23:50
2415
原创 XCTF-攻防世界CTF平台-Web类——4、Web_php_include(php中strstr()函数绕过、数据流协议)
目录标题一级目录方法一、文件包含:php伪协议绕过strstr()函数方法二、文件包含:GET方式提交命令方法三、data://伪协议方法四、一句话木马连接后台方法五、data://伪协议+一句话木马一级目录打开题目地址:代码:<?phpshow_source(__FILE__);echo $_GET['hello']; //输出hello变量指向的内容$page=$_GET['page']; //把page变量的值赋给$pagewhile (strstr($page
2021-11-14 17:30:53
2848
原创 XCTF-攻防世界CTF平台-Reverse逆向类——54、echo-server(Linux32位ELF文件、花指令混淆反汇编)
目录标题第一个花指令混淆080487C1:第二个花指令混淆080487F3:第三个花指令混淆08048816:第四个花指令混淆08048859:修改程序跳转逻辑方法1:方法2:题外话: 下载附件,查看信息: 是Linux下的32位ELF文件,运行程序: 发现是一个输入字符串,将字符串中的每个字符转换成对应的ASCII码输出的程序 用IDA打开,先查看字符串窗口: 有一些用到的字符串: “Echo Server 0.3 ALPHA”这个在我们上面运行程序的时候见过了: 就
2021-10-30 23:29:21
859
原创 XCTF-攻防世界CTF平台-Reverse逆向类——56、tar-tar-binks(Mac平台下的64位动态链接共享库.dylib逆向)
目录标题一、解压缩二、查看文件三、分析程序四、程序主要逻辑:五、逆向思路:步骤一:步骤二:六、解密代码:题目提供了两个文件flag.tar和libarchive.dylib一、解压缩 flag.tar是一个不能直接在windwos下解压缩的文件,直接用tar -xvf flag.tar命令解压缩: 提示不是一个tar压缩文件,但是其中包含了一个flag.txt的文件头,解压缩出了一个flag.txt文件。 再用file flag.tar命令来查看文件的格式: 是一个POSIX格式的t
2021-10-30 19:28:19
897
原创 XCTF-攻防世界CTF平台-Reverse逆向类——55、What-does-this-button-do(Android逆向)
程序是一个rev200.apk,安装之后运行:要求输入密码,然后点击Enter按钮比较密码是否正确:随便输入一个错误的密码,点击Enter按钮之后是没有反应的,看来之后输入正确的密码才会有用。反编译spk,找到MainActivity:onClick函数,在点击按钮的时候会触发:发现程序获取对话框的内容之后,和字符串"EYG3QMCS"进行比较,如果相等就会调用其他的函数FlagActivity.class,错误就没有任何操作,这和我们上面看到的程序表现一致所以字符串"EYG3QMCS"应
2021-10-24 13:14:34
519
编程实现DES的工作模式,DES.zip
2021-02-23
calculator.zip
2021-02-07
阿里巴巴java开发手册及插件
2019-03-10
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人