随笔分类 - ctf刷题记录
摘要:进入题目是一个类似于买彩票的东西我们先去注册个账号,然后发现可以buy flag,大概理解题目意思,我们要么只能在买彩票的时候让我们中大奖要么只能改变自己的余额,原题目应该使用dirsearch扫描发现git泄露然后使用Githack复原的但是攻防世界这边直接把源码给了我们 源码中关键函数在api.
阅读全文
摘要:进入环境进入regesiter模块结果返回个not found 但查看源码发现点提示 感觉是有点像SSTI模板注入的意思在里面了测试一下 {{7*7}} 确定为模板注入 先使用常规方法试试 {{''.__class__.__mro[2]__.__subclasses__()}} 不行应该是过滤了东西
阅读全文
摘要:进入环境让输入域名测试baidu.com无反应 然后ping 127.0.0.1有回显 测试管道符拼接命令执行 但是回显都是Invalid URL FUZZ测试以下 发现只有@可以使用当输入@的时候会将@url编码为%40 那我尝试输入一个十六进制值让这个十六进制值大于url编码范围看看会出现什么结
阅读全文
摘要:进入环境每个页面浏览一下 最上面说我有多少个钻石,多少积分 点击Go-to e-shop,就可以使用一个积分买一个钻石,原来做的这种类型的题目都是抓包修改余额但这题有点不一样 最上面有个view source code估计是源码我们去看看 from flask import Flask, sessi
阅读全文
摘要:进入环境一个登录界面尝试使用万能密码直接登录,不行还是去注册一个账号再说 点击用户名进去发现一个疑似注入点的地方 我们尝试3-2得到回显几乎确定为数字型sql注入 order by4可以by5发现不行说明有四列 尝试联合注入失败过滤了东西 经过手测发现应该是过滤了union select 而且不区分
阅读全文
摘要:进入环境得到源码 <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); // echo $_o; for($_0=0;
阅读全文
摘要:各位久等了,前段时间恶补了一下知识体系,现在开始重新刷题 进入题目给出源码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($tex
阅读全文
摘要:mfw 进入到环境搜集到两个信息 可能存在git泄露,flag就在flag中 测试了以下确实存在git泄露那我们使用githack还原 简单看了一下代码在templates目录下发现了flag.php,在index.php中发现关键代码 <?php if (isset($_GET['page']))
阅读全文
摘要:favorite_number 进入环境得到源码 <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff $array && $stuff[0] != 'admin') { $num= $_PO
阅读全文
摘要:pchar??? 补充知识点 开始这题之前我们先补充一个知识点 phar 的文件包含 和上面类似先创建一个phar 标准包,使用 PharData 来创建,然后添加文件进去phar里面。 然后在文件包含的函数里面 可控的话 ,使用phar://xxxx/xxx 就可以实现文件包含了 解题 进入题目查
阅读全文
摘要:端午节就该吃粽子 题目如下让我们访问login.php 然后就一个登录界面查看源码发现index.php 我们直接访问发现没有结果使用伪协议读取 然后我们使用base64解密 <?php error_reporting(0); if (isset($_GET['url'])) { $ip=$_GET
阅读全文
摘要:<?php if(isset($_GET) && !empty($_GET)){ $url = $_GET['file']; $path = "upload/".$_GET['path']; }else{ show_source(__FILE__); exit(); } if(strpos($p
阅读全文
摘要:ics-05 进入题目依旧是这个场景我们去设备维护中心看看 然后去云平台设备维护中心 我们重点来观察url发现这里可能存在文件包含,我们使用伪协议读取看看 php://filter/convert.base64-encode/resource=index.php 发现加密后的base64 我们解密发
阅读全文
摘要:双写绕过 进入环境 上传一句话木马 上传路径感觉不对检查源代码 从此处可以看出需要双写绕过 使用bp抓包 此处这样修改即可双写绕过 使用蚁剑连接 即可找到flag 文件头检查 进入环境 上传一句话木马发现 ‘ 使用bp抓包更改放包 使用这串代码制作图片木马 用winhex在最后加上一句话木马 再抓包
阅读全文
摘要:第一题:请求方式 打开环境分析题目发现当前请求方式为GET 查看源码发现需要将请求方式改为CTFHUB就可以 使用bp抓包 发送到repeater模块修改请求方式 即可得到flag 第二题:302跳转 打开环境发现flag不在这儿然后点击give me flag 返回当前页面 查看代码发现flag在
阅读全文
摘要:网站源码 进入环境,首先我们用bp抓一下包 在HTTP请求方式GET/后添加两个负载,一个用于爆破文件名,一个用于爆破后缀名 得知网页源码的备份形式为www.zip,下载网页源码 打开记事本文件 发现是这个东西 通过url访问即可得到flag Bak文件 打开环境我们查看源码发现备份文件为bak,并
阅读全文
摘要:Vim缓存 进入环境由于不懂得vim是什么借鉴大佬的博客 网页提示flag在index.php中我们按着这个思路去找 将文件保存下来因为是swp文件我们用kail进行打开 使用vim -r index.php.swp我们即可得到flag Ds-Store 打开环境按照题目意思下载ds_store 保
阅读全文
摘要:弱口令 进入环境 使用burpsuit抓包爆破 密码长度不一样应该密码就为他 即可找到 默认口令 进入环境一开始不懂百度借鉴原来是要看常见设备默认口令 很快就找到了 一个一个的试 即可获得答案
阅读全文
摘要:MySQL流量 将附件下载之后用wireshark打开过滤搜索ctfhub 然后我们就找到了这一行双击打开 于是我们便找到了flag Redis流量 将附件下载之后用wireshark打开过滤搜索ctfhub 可是我们发现这个flag只有一半所以我们接着向后找 我们在第70行找到了flag的后半段
阅读全文
摘要:NaNNaNNaNNaN-Batman 下载出一个文件我们一开始不知道是个啥,我们拉入到sublime中看一下 我们可以发现在最开始的位置有一个_是一段函数变量,最后的eva()那个是执行函数代码,但这个还是有点乱,我们试试能不能将eval转换为alert看看能不能将源码给搞出来,当然这个文件也基本
阅读全文
浙公网安备 33010602011771号