06 2022 档案

反序列化POP链
摘要:贴个源码: Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E 阅读全文
posted @ 2022-06-30 22:55 Galio 阅读(99) 评论(0) 推荐(0)
反序列化字符逃逸&auto_append_file(php.ini)
摘要:php.ini配置: 1.auto_prepend_file—-指定在每个PHP页面执行前所要执行的代码。 2.auto_append_file—-指定在每个PHP页面执行完成后所要执行的代码。 反序列化字符逃逸原理: 1.序列化后的值后面跟一些字符串不影响反序列化 2.如果序列化后的值经过了pre 阅读全文
posted @ 2022-06-30 16:58 Galio 阅读(145) 评论(0) 推荐(0)
twig模板注入 Cookie is so subtle
摘要:twig模板注入和jinja2模板注入差不多,但是有区别,判断方法:传个{{7*'7'}},jinja2会返回7777777,twig会返回49 payload:{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getF 阅读全文
posted @ 2022-06-30 13:28 Galio 阅读(36) 评论(0) 推荐(0)
[BSidesCF 2020]Had a bad day WP
摘要:这道题先用php://filter/convert.base64-encode/resource=index(这道题不带后缀名)读取出index.php的源码: <?php $file = $_GET['category']; if(isset($file)) { if( strpos( $file 阅读全文
posted @ 2022-06-27 02:28 Galio 阅读(46) 评论(0) 推荐(0)
[网鼎杯 2020 朱雀组]phpweb WP
摘要:打开靶场,js是每5秒发一次请求,抓包看一下,post传了两个参数,一个是date,一个是Y-m-d什么的,很容易联想到date(Y-m-d)函数,页面也返回了当前时间,明显后端采用了call_user_finc(),使用readfile(index.php)或者是file_get_contents 阅读全文
posted @ 2022-06-26 22:12 Galio 阅读(168) 评论(0) 推荐(0)
[BJDCTF2020]ZJCTF,不过如此
摘要:这道题考查preg_replace()函数中/e的工作机制,正则表达式后面跟e,即/xxxx/e,preg_replace()的第二个参数的会被当做代码执行,strtolower('\1'),\1需要和正则表达式里的()一起用,\1表示在str中匹配到的第一个,\2表示在str中的第二个,以此类推。 阅读全文
posted @ 2022-06-25 14:09 Galio 阅读(272) 评论(0) 推荐(0)
[GXYCTF2019]禁止套娃 wp
摘要:这道题的思路是使用githack工具扫描目标ip/.git,得到index.php,进行代码审计,得到flag git源码泄露的原因: 开发人员在开发时,常常会先把源码提交到远程托管网站(如github),最后再从远程托管网站把源码pull到服务器的web目录下,如果忘记把.git文件删除,就造成此 阅读全文
posted @ 2022-06-25 00:24 Galio 阅读(247) 评论(0) 推荐(0)
[BUUCTF 2018]Online Tool WP(未完)
摘要:进去就是一个代码审计 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host']) 阅读全文
posted @ 2022-06-24 17:14 Galio 阅读(57) 评论(0) 推荐(0)
[RoarCTF 2019]Easy Java WP(未完)
摘要:WEB-INF是Java的WEB应用的安全目录。所谓安全就是客户端无法访问,只有服务端可以访问的目录。如果想在页面中直接访问其中的文件,必须通过web.xml文件对要访问的文件进行相应映射才能访问 WEB-INF主要包含以下文件或目录: /WEB-INF/web.xml:Web应用程序配置文件,描述 阅读全文
posted @ 2022-06-24 13:52 Galio 阅读(45) 评论(0) 推荐(0)
[网鼎杯 2018]Fakebook WP
摘要:这道题考察开发经验,用到了显错注入、dirsearch爆破目录、反序列化 sql注入过滤了union select,用union/**/select代替,爆破出来字段内容,有一个字段内容是一个序列化值,很明显,后端语句可能是`select id,username,blog,ser from user 阅读全文
posted @ 2022-06-24 11:13 Galio 阅读(83) 评论(0) 推荐(0)
AreUSerialz WP
摘要:一道反序列化的题目: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function _ 阅读全文
posted @ 2022-06-24 00:00 Galio 阅读(49) 评论(0) 推荐(0)
[GXYCTF2019]BabyUpload WP
摘要:题目给出了源码,打开index.php看一下: <?php session_start(); echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" /> <title>Upload</title> < 阅读全文
posted @ 2022-06-23 16:47 Galio 阅读(57) 评论(0) 推荐(0)
[SUCTF 2019]CheckIn 笔记
摘要:<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv 阅读全文
posted @ 2022-06-23 13:11 Galio 阅读(57) 评论(0) 推荐(0)
HardSQL笔记
摘要:这道题,过滤了大部分常见的传参,甚至连空格、等于号也过滤了,但是没有过滤报错注入 是个表单,有两个可填字段:账号密码,虽然是表单,但是是get传参 这里补充一下:--+经过url编码就是--空格 #经过URL编码就是%23,get传参不能写井号,不会被传参,会认为是锚点,--空格的最后一个空格不会被 阅读全文
posted @ 2022-06-22 23:06 Galio 阅读(70) 评论(0) 推荐(0)
flask轻量级web应用伪造session方法
摘要:由于flask是非常轻量级的web应用,用户的session竟然存在客户端,在cookie的session字段中,例如admin这道长ctf赛题中随便注册了一个账号,F12查看cookie,里面session字段的值 为:session:".eJxF0MGKgzAQgOFXWebcQ2PtRejBJ 阅读全文
posted @ 2022-06-22 19:19 Galio 阅读(517) 评论(0) 推荐(0)