- 博客(50)
- 收藏
- 关注
RSS订阅原创 sqli-lab(5~6详解)
**Less-5 GET - Double Injection - Single Quotes - String (双注入GET单引号字符型注入)**知识点:1,时间延迟型手工注入;布尔型手工注入;使用concat聚合函数2,payload原理及防御措施3,sqlmap真香,脚本也好使**0x0a 时间延迟型手工注入**ps: 什么是时间盲注,时间盲注就是页面不会有回显,没有回显怎么办?这时候我们可以通过sleep(),让他沉睡为什么通过sleep() 可以判断是否存在时间盲注,因为只要
2020-10-17 22:03:55
680
3
原创 sqli-lab(1~4详解)
Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入)
2020-10-07 22:15:34
626
原创 攻防世界misc进阶区What-is-this
下载下来,发现是.gz压缩解压再重命名,解压两次得到两张图片用stegsolve组合图片得到flag唉,开学了,好烦啊2020.8.31 公瑾
2020-08-31 20:25:20
316
原创 攻防世界misc进阶区stage1
下载附件后,stegsolve打开,转换色道得到一张二维码,保存后,QR research扫描二维码得到一连串hex编码,扔到winhex里观察后发现,文件头03F30D0A,这个是.pyc文件(反编译)再Easy Python Decompiler反编译,打开后,得到源码# Embedded file name: test.pystr = [65,108, 112,104,97,76,97,98]flag = ''for i in str: flag += chr(i)pr
2020-08-25 17:24:55
2993
2
原创 攻防世界misc进阶区reverseMe
题目:reverseMe下载附件后,就有颠倒了的flag合着,真就reverse呗画图得到flag,这题水了啊2020.8.22 公瑾
2020-08-22 19:27:00
817
原创 攻防世界misc进阶区快乐游戏题
不会吧,不会吧,你不会真的以为玩游戏就行了吧好吧,我也只是试了一下,就出来了,没啥花里胡哨的快乐,快乐就完了2020.8.22 公瑾
2020-08-22 15:48:28
2033
原创 攻防世界misc进阶区Test-flag-please-ignore
这道题应该放到新手区的,没啥讲的下载附件后,notepad++打开先观察,判断编码和进制转换,发现只有0-f的字符,推断是十六进制附上http://www.bejson.com/convert/ox2str/转文字后得到flag掌握判别十六进制的特点:0-f2020.8.18 公瑾...
2020-08-18 17:33:55
413
原创 攻防世界misc进阶区János-the-Ripper
下载附件后,解压,misc100winhex打开PK开头,而且有一个flag.txt文件,怕不是又是一个压缩包,包中之包后缀改.zip再次解压,需要密码。。。题目提示John the Ripper我这里已经有破解的,所以用的是ARCHPR下载安装教程链接:https://blog.csdn.net/weixin_40270867/article/details/83062134直接开搞,半秒。。。输入密码,解压后,打开flag.txt得到flag多掌握掌握这些小套路,见得多了
2020-08-18 13:23:57
582
原创 攻防世界misc进阶区can_has_stdio?
先普及brainfuck语言在做这道题前不知道这,费牛鼻子劲了下载附件解压后,记事本打开我星星你个大**如果有人告我这是加密的,信你个鬼然而,是我孤陋寡闻了直接在线解密http://ctf.ssleye.com/brain.html得到flag:flag{esolangs_for_fun_and_profit}2020.8.17 公瑾...
2020-08-17 17:12:27
1515
原创 攻防世界misc进阶区Training-Stegano-1
最简单的隐写术(差不多)下载后winhex打开,就直接给了。。。。还有,攻防评论区的小伙伴又交了一次智商税,没有flag{},此处有坑啊
2020-08-17 17:00:17
252
原创 攻防世界misc进阶区Aesop_secret
下载附件,解压后,打开是一张gif动图,因为没有下载ps啥的,直接在线分解的gif动图分解:https://tu.sioe.cn/gj/fenjie/差不离应该是ISCC到这啥也没有了,用winhex打开,看一下信息在最后发现了一串字符串,以为是b64,结果没解出来看了wp,才知道aes加密(第一次知道。。。),而ISCC就是密钥(其实题目也有提示aes operation secret)解密两次得到flag这个题题目就是提示,没看出来,蓝瘦了,铁子2020.8.17 公瑾..
2020-08-17 16:49:57
1225
原创 攻防世界misc进阶区a_good_idea
下载附件重命名,zip解压(比rar解压出来的文件多,搞不懂这两个为啥)先打开to_do(打开顺序反了的话,得不到二维码)再与to拼接图片转换色道扫描二维码得到flag:NCTF{m1sc_1s_very_funny!!!}感觉做misc题得灵性,一道题好多解法,但你可能一种都找不到,尤其是大佬们的思路天马行空好比这道题,binwalk打开就直接有hint.txt了,还可以ps调高曝光度,得到二维码,还有Beyond Compare感觉评论区个个都是人才,说话又好听,懂得又多20
2020-08-17 16:29:28
2067
1
原创 攻防世界misc进阶区pure_color
下载附件直接用stegsolve这个隐写术神器打开打开图片,一片空白下边的箭头,转换色道得到flag2020.8.16 公瑾
2020-08-16 12:51:55
343
原创 攻防世界misc进阶区embarrass
这道题在wireshark里找挺费劲的,我是在winhex里干的下载附件,解压后,winhex打开直接Ctrl+F,查找flag{(小技巧:查找加个括号)得到flag还有许多其他方法,这直接贴上评论区的方法吧,感兴趣的多试试2020.8.16 公瑾...
2020-08-16 12:23:43
591
原创 攻防世界misc进阶区wireshark-1
题目描述:黑客通过wireshark抓到管理员登陆网站的一段流量包(管理员的密码即是答案)。 flag提交形式为flag{XXXX}下载附件后,解压,用wireshark打开是一个pcap数据包,看到登录应该找HTTP POST请求了查找http追踪tcp流找到了登陆密码所以,flag:flag{ffb7567a1d4f4abdffdb54e022f8facd}2020.8.15 公瑾...
2020-08-15 16:47:17
462
原创 攻防世界misc进阶区神奇的Modbus
modbus下载附件后,用wireshark打开直接查找flag无果,查找modbus右键,follow,追踪tcp流发现flag以为完了吗,这样想的自己去交智商税去点就不说了,关键是modbus,而给的是mdbus,吐了吐了所以flag:sctf{Easy_Modbus}2020.8.15 公瑾...
2020-08-15 16:32:30
384
原创 攻防世界misc进阶区base64÷4
智商税,该交智商税了。。。64/4=16所以题目就是提示,base16解码下载附件下来后,记事本打开,一堆base16解码https://www.qqxiuzi.cn/bianma/base.php?type=16得到了flag2020.8.15 公瑾
2020-08-15 16:24:08
245
原创 攻防世界web进阶区upload
这道题头都被打烂了。。。题目为upload,第一反应文件上传,一句话菜刀就行了,结果,结果是注入。。。(思维还是不灵活,脑洞还是不够大)打开题目,先注册,这里没有注入登录然后进入上传界面写个一句话木马,上传试了好几个,php,txt,都是文件扩展不对,只有jpg可以,应该是白名单过滤同时界面将文件名回显推测,将文件存入了数据库,显示文件名,当你输入查询数据库的语句时,是不是可以读取数据库那么,结合大佬的wp,将文件名构造成sql查询语句(这个思路骚气。。。)试着构造的时候,发现sel
2020-08-15 15:27:50
433
原创 攻防世界web进阶区ics-07
题目描述:工控云管理系统项目管理页面解析漏洞打开靶机根据题目描述,点击项目管理点击view-source可以查看源码大概有三部分1,<?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') {
2020-08-14 21:48:46
428
原创 攻防世界web进阶区lottery
题目附件:。。下载下来,后面有用打开链接,大概就类似一个博彩网站吧(¬◡¬)✧先注册注册好之后,先随便买一波,看看什么情况应该是没亏的吧。。。除这个外,在claim your prize里发现了flag,但钱不够看下robots.txt提示是git源码泄露用githack扫描恢复源码(这里前面给的附件就是,少点麻烦)在buy的界面抓包,看下购买时的源码文件名api.php审计代码if(numbers[numbers[numbers[i] == winnumbers[win
2020-08-14 13:04:56
200
原创 攻防世界web进阶区Web_php_wrong_nginx_config
打开题目链接出现了个登陆界面,随便试着登一下提示网站建设中,以为是sql注入,结果全是提示这玩意看一下robots.txt挨个访问一下hint.php给了一个文件路径,可能是文件包含方面的但是Hack.php自动跳转到登陆界面,题目不可能给没用的,抓包看一下将islogin改成1,就成为登陆状态,然后放包除了管理中心以外,其他的点击会跳转到登陆界面那就看一下这个管理中心url出现新的路径,如果admin访问正常,会please continue那么file,和ext文件扩展名,
2020-08-14 12:27:51
405
原创 攻防世界web进阶区unfinish
题目描述:SQL题目链接有三个,登录,注册,主页可以看出这道题考察sql注入打开靶机链接,看到一个登陆界面有登录就可能有注册,url栏register.php先注册一个注册成功后跳转到主页,同时在主页显示用户名唔,鬼刀里的冰公主,品味不错,俺喜欢︿( ̄︶ ̄)︿先试着在注册界面手注吧构造插入的注册语句payload:insert into tables values(‘email′,′0′+ascii(substr((selectdatabase())from1for1))+′0′,
2020-08-12 16:17:55
541
原创 攻防世界web进阶区zhuanxv
SCTF题目描述:你只是在扫描目标端口的时候发现了一个开放的web服务打开链接是一个显示时间的页面dirsearch扫一下打开list页面抓包看一下看到JSESSIONID,得知是java web,读取配置文件web.xml考虑了一下会不会是sql注入看看源码,里边有个导入路径打开url会下载一张图片,但不能查看,notepad++看下源码这里struts2有另一个大佬的解释https://www.cnblogs.com/mke2fs/p/11519039.html然后
2020-08-10 20:32:29
516
原创 攻防世界web进阶区wtf.sh-150
这道题是我不置酿力了…(。•ˇ‸ˇ•。) …打开题目链接,类似一个博客吧,注册,登录,回复,发表点了一遍链接,没发现啥,老老实实先注册登录吧登陆后也没啥变化,dirsearch扫一下试一下这个/users/admin.phpemmm随便点开文章,看见路径变化发现路径穿越漏洞(不懂),可以获得源代码有点多,查找flag<html><head> <link rel="stylesheet" type="text/css" href="/css/
2020-08-09 17:18:40
283
1
原创 攻防世界web进阶区bug
打开靶场,出现登录框,SQL注入无果,老老实实注册注册成功,登录点击manage,显示要admin管理员考虑在findpwd里先修改自己的账号,bp抓包,改掉admin的密码bp抓包username改成admin,密码随便可以看到修改成功管理员新密码登录再次点击manageemmmm继续改bp抓包,X-Forwarded-For:127.0.0.1这个时候从源代码里看到,又给了个新的路径,do=???filename想到增删改查,多试几次,是upload上传文件,是一句话
2020-08-07 12:44:23
215
原创 攻防世界web进阶区i-got-id-200
打开链接,有三个链接地址挨个看一哈发现在url栏都是以.pl结尾,百度一下是perl编写的(很好,不懂)看一下源码,也没要求上传什么文件但是会把文件内容打印出来这里看大佬讲的是param()函数param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的接收变量中。如果我们传入一个ARGV的文件,那么Perl会将传入的参数作为文件名读出来。对正常的上传文件进行修改,可以达到读取任意文件的目的bp抓包将上传文件的代码复制,粘贴,删除filename=“”,加上ARV
2020-08-06 13:23:13
422
原创 攻防世界web进阶区FlatScience
打开链接给了好几个地址,到处点,全是一些文章(还是英文的)dirsearch扫一下或者robots.txt到admin.php里看一下试一下admin不行?看一下源码估计就不是从这上手了,那就login.php吧试一试sql注入报错,发现不是mysql,而是sqlite3(那这就难受了啊)查看源码url栏?debug=?debug出现源码泄露<?phpif(isset($_POST['usr']) && isset($_POST['pw'])
2020-08-05 14:23:33
291
原创 攻防世界web进阶区Fakebook
打开链接是一个类似博客的界面,有登录和注册,考虑sql注入,先注册吧注册后用户名可以点击会发现url栏/view.php?no=1,估计在这里注入,试了一下,存在注入点order by 4回显正常,5不行,所以4列用union select注入,但是被过滤了百度可以用/**/注释符绕过,no=-1 union/**/select 1,2,3,4#从unserialize()可以看出,数据保存时序列化,输出反序列化,显示在博客界面。还有文件的绝对路径/var/www/html/直
2020-08-04 14:30:28
426
原创 攻防世界web进阶区ics-04
题目描述:工控云管理系统新添加的登录和注册页面存在漏洞,请找出flag。考虑是否存在注入漏洞只有三个地方可以点,登录,注册,忘记密码先注册普通用户登录没什么用,估计得管理员登录登录和注册页面没有注入点,就忘记密码测试后存在注入,1’or 1=1#绕过手工测试,后台过滤了一部分,直接union select,1’ union select 1,2,3,4#页面回显正常查询数据库1’ union select 1,2,group_concat(schema_name),4 fr
2020-08-03 22:23:09
217
原创 攻防世界web进阶区shrine
打开链接,查看源码代码审计看见了flask,考虑模板注入,@app.route后跟着路径,还有一部分过滤试一下/shrine/{{1+1}},回显为2,确实是sstiapp.config['FLAG'] = os.environ.pop('FLAG')注册了一个config,flag应该就在这里面,本来可以直接查看{{config}},但后面代码存在过滤def safe_jinja(s): s = s.replace('(', '').replace(')', '')
2020-07-31 13:47:21
540
原创 攻防世界web进阶区Cat
题目描述:抓住那只猫打开链接刚开始以为是注入,但是发现好像都被过滤了试着输入了loli.club,页面没反应,输了下127.0.0.1到这也不知道这题是在考啥没办法,百度了下,是diango报错,是将输入的参数传到了后端的django服务中进行解析,而django设置了编码为gbk导致错误编码了宽字符(超过了ascii码范围)所以这里可以传递%80,url编码使用的是16进制,80也就是128,ASCII码是从0-127,所以这个时候会报错试着在报错页面找到一些信息发现文件的绝对路径是
2020-07-30 13:19:55
414
原创 攻防世界web进阶区ics-05
打开链接看了看源代码,没发现啥,页面到处点点,只有设备维护中心可以进去再点了一下云平台设备维护中心,发现url栏?page=indexurl栏看见page,考虑文件包含漏洞读取index的源代码,参考大佬的wp,用php伪协议php://filterpayload:?page=php://filter/read=convert.base64-encode/resource=index.php得到一段base64,解码https://tool.chinaz.com/tools/base64.
2020-07-29 13:24:23
382
原创 攻防世界web进阶区easytornado
题目有描述提示,tornado框架打开链接发现3个文件1,flag in /fllllllllllllag2,render,可能会是SSTI模板注入3,md5(cookie_secret+md5(filename))url中输入/fllllllllllllag,直接error用handler.settings对象拿到cookieurl注入**/error?msg={{handler.settings}}**根据hint,filehash值由md5加密先filename即/fl
2020-07-28 16:47:08
444
原创 攻防世界web进阶区mfw
打开链接看源代码以为在?page=flag里,啥也没到处点点,在about页面里发现了.git 泄露于是在url后.git/或者dirsearch扫一下然后GitHack下载源码flag.php里没有,但是index.php里有要求,可以构造payload代码审计,参考大佬的wp,payload:?page=abc’) or system(“cat templates/flag.php”);//查看源代码,得到flag知识点:工具:dirsearch-master,GitHa
2020-07-27 12:27:19
379
原创 攻防世界web进阶区supersqli
打开链接,初步判断应该是sql注入顺便查看一下源代码,发现sqlmap没有灵魂,估计应该不让用,得手工注入先1’,报错再–+,发现被正则过滤,大小写也不行看了看大佬的wp,堆叠注入(呜,新名词。。。)inject=1’;show databases;#inject=1’;show tables;#看一下这几个表1’;show columns from words;#1’;show columns from 1919810931114514;# (字符串为表名操作时要加反
2020-07-25 12:15:58
1809
1
原创 攻防世界web进阶区Web_python_template_injection
打开链接,提示模板注入(flask的ssti漏洞(服务端模板注入))//在使用flask/jinja2的模板渲染函数render_template_string的同时,使用%s来替换字符串的时候,会把字符串中被{{}}包围内容当作变量解析。随便试试{{3+3}}被执行,说明有注入点构造payload,用os模块的popen执行ls打印所有文件{{[].class.base.subclasses()[71].init.globals[‘os’].popen(“ls”).read()}}发现了fl4
2020-07-23 12:11:13
492
原创 攻防世界web进阶区web2
打开链接,审计代码要求逆向解密,$miwen就是flag1,str_rot13()2,strrev()3,base64decode()4,for循环函数//+1改成-1这是大佬的写的逆向代码,跑一遍得到flag参考文章:https://blog.csdn.net/weixin_42499640/article/details/991020492020.7.22 公瑾...
2020-07-22 11:35:17
331
原创 攻防世界web进阶区Web_php_unserialize
打开链接后,源码审计1,unserialize时,_wakeup()的绕过 //只需要令序列化字符串中标识变量数量的值大于实 际变量2,绕过preg_match正则,因为正则会过滤掉序列化开头的字母O //使用+可以绕过preg_match() 正则匹配,O:4改成O:+4这里参考了大佬的反序列化代码因为题目还要求base64解码再赋值给var传参所以运行一下后构造payloadpayload: /index.php?var=TzorNDoiRGVtbyI6Mjp7czoxM
2020-07-21 17:21:14
416
原创 攻防世界web进阶区warmup
打开链接后出现的是一个大大的滑稽脸查看源代码发现source.php,打开后,发现了hint.php打开hint.php,发现了flag的位置是在ffffllllaaaagggg这个文件中(后面会发现这里是暗示四层目录)继续审计代码,构造payload从代码中,可以看出经过三层判断,用include构造第一,不为空 第二,是字符串 第三,checkfile函数检查而checkfile第一个要求page为字符串,第二判断page为字符串,第二判断page为字符
2020-07-20 15:30:37
852
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人