随笔分类 - ctf刷题记录
菜菜刷题记录
摘要:打开页面,测试功能发现是一个鼓励网站,点击下面的两个按钮会给category传一个参数 感觉存在文件包含漏洞,先用base64伪协议尝试读取一下源码 ?category=php://filter/convert.base64-encode/resource=index.php 发现报错了嗷,根据提示
阅读全文
摘要:访问网站的robots.txt,看看有没有线索 找到了user.php的源码,直接访问这个备份文件。下载完成直接打开用就好,记事本就可以打开.bak文件 <?php class UserInfo { public $name = ""; public $age = 0; public $blog =
阅读全文
摘要:打开输入字符后提交没有回显,查看header发现有hint。重点是md5函数,用法: md5(*string*, *raw*=FALSE),当只接受一个参数时会返回字符串的md5值,当把第二个参数的值设置为TRUE,会返回生成md5值的二进制格式,即根据ascii码值转码。 根据这个特性,就存在一个
阅读全文
摘要:点击右上角的菜单,有一个payflag,直接点击,进入到了pay.php页面 发现,需要得到flag有两个要求:必须是该校的学生,密码必须正确。 在该页面的网页底部,有代码提示,要求密码不能是纯数字,最后又要==404密码才正确。我们可以想到利用php的弱类型比较:只要前缀有404就好。 那需要做的
阅读全文
摘要:打开是一个计算器 查看网页源码发现,程序通过调用clac.php文件给num传参再计算,其中encodeURIComponent函数对计算表达式中的符号进行转码。例如表达式为1+1,则返回1%2B1,故url为calc.php?num=1%2B1。另外这里还提示我们他已经部署了waf,waf会过滤一
阅读全文
摘要:使用dirsearch扫描: dirsearch -u http://b31cefa6-24d4-4f14-82c3-0fdba166cecf.node5.buuoj.cn:81/ -e bak -t 1 -d 1 -o ./reports/buuoj.txt 扫描结果为: 文件扫描得到命令inde
阅读全文
摘要:dirsearch扫描网站目录,对扫描到的结果用grep查找200的结果 发现有一个www.zip网站备份文件,访问www.zip,下载之后对代码进行审计, 查看flag.php,结果不对。 index.php有一段include调用 审计class.php <?php include 'flag.
阅读全文
摘要:打开页面是一个登录界面,直接用admin’ or 1#试试深浅 回显为: 这里我们分析一下这个报错,near后跟的单引号中的内容为1#' and password='a',那么说明sql语句就是从这里开始语法不正确的,模拟一下正常的sql应该是select * from table where us
阅读全文
摘要:打开页面,点击灯泡出现上传按钮 上传phtml_get.phtml的shell文件,文件内容为: GIF89a <script language='php'>@eval($_GET['aa']);</script> 访问文件,使用system命令查看/upload/phtml_get.phtml?a
阅读全文
摘要:打开页面只有一个表情包,F12查看网页代码 有个提示,我们直接转到source.php页面 发现还有一个hint.php,访问可以得到提示: 通过审计代码发现,emmm实现了一个白名单功能,只有source和hint可以访问通过。下面的if检查$_REQUEST['file']是否存在且为字符串类型
阅读全文
摘要:发现flag.php就在这但是不回显结果。 这时考虑使用伪协议间接读取源码内容 以base64伪协议为例: payload为:?file=php://filter/convert.base64-encode/resource=index.php 得到index.php的源码的base64编码形式,
阅读全文
摘要:打开页面如下: 直接输入127.0.0.1,ping完没反应,猜测可能是命令执行,尝试使用管道符|,输入命令127.0.0.1|ls,有回显 尝试往上查找目录,1270.0.1|ls ../../../ 发现flag目录。直接使用cat命令查看,1270.0.1|cat ../../../flag
阅读全文
摘要:打开页面如下: 按提示输入ip 127.0.0.1 尝试加管道符,查看目录结构,?ip=127.0.0.1|ls cat查看flag.php 他骂我们,说空格不行。使用其他字符替换空格,?ip=127.0.0.1|cat$IFS$9flag.php 又骂我们,说flag字符串不行,我们先看看inde
阅读全文
摘要:当输入数字时返回array结构,且任意非0数字都是返回1。当输入字符串时无任何回显。那么我们可以猜测sql语句中存在逻辑或符号||,因为任意非0在mysql中相当于true且返回值为1,而字符及字符串会被当作变量处理,或运算时会报错。 那么绕过的方法是将mysql的sql_mode参数设置为PIPE
阅读全文
摘要:输入1',发现报错,且闭合符号为单引号 那么我们可以尝试报错注入,先用order by确认回显列数。这里回显列数为2 用union确认回显位置,1 union select 1,2,发现这些字符被过滤了,尝试了大小写也不行,直接猜吧。 这里可以用报错注入,1' and (extractvalue(1
阅读全文
摘要:打开是一个登录界面 使用admin' or 1#万能密码绕过密码登录 再使用admin' order by 3#找回显的列数,结果为3,再使用a' union select 1,2,3#找回显的列,结果为2,3 后面就是常规的union注入流程 # 找数据库和表名 a' union select 1
阅读全文
摘要:打开页面如下: 主页没有什么信息,直接查看网页源代码,查找href看看有没有链接,发现Secret.php 访问得到,It doesn't come from 'https://Sycsecret.buuoj.cn',我们知道这需要修改referer。使用burp suite抓包 抓包后,转发到re
阅读全文
摘要:直接上传shell.php,发现提示不是图片,这时先修改后缀名或者Content-Type数。我们使用burp suite进行操作 抓包后发送到repeater,直接修改后缀名不行,看来是通过Content-Type属性来判断是否为图片的,将Content-Type修改为image/jpeg,回显n
阅读全文
摘要:打开页面说菜刀丢了,我们知道菜刀,也叫中国菜刀,是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理! 主要功能有:文件管理,虚拟终端,数据库管理。 只要往目标网站中加入一句话木马,然后你就可以在本地通过中国菜刀chopper.exe即可获取和控
阅读全文
摘要:打开链接映入眼帘的是一个登录窗口 用admin'查看一下有没有注入漏洞,回显一直是wrong password这个界面 到别处找找看有没有线索,我们点击help按钮看看 发现有一个help.docx文件未找到报错,这里是get传参,我们试试post的传参,感觉也是比较神经 下载到了一个help.do
阅读全文
浙公网安备 33010602011771号