tr1ple

摘要： 1.one line tool 这道题主要是命令注入，利用escapeshellarg 和 escapeshellcmd前后使用时通过注入单引号来导致逃逸出一个单引号 从而导致可以参数注入 这里主要用到nmap的两个参数-iL 和-oN 以任意格式输出，-oX不行，这样不会把/flag的内容输出，必 阅读全文

摘要： 1.WarmUp 思路很清晰，文件包含，漏洞点在代码会二次解码，只需注入一个?就可以使用../../进行路径穿越，然后去包含flag，flag路径在hint.php里面有 2.easy_tornado 题目就给了这些信息，flag路径已知，render应该是跟模板注入相关，hint.txt给的应该是 阅读全文

摘要： LESS31: 双引号直接报错，那么肯定可以报错注入，并且也过滤了一些东西，^异或没有过滤，异或真香 -1" and (if(length(database())=8,1,0)) and "1 这个payload可以 LESS32： 发现'被转移了，尝试宽字节绕过，\反斜杠是%5c，前面拼接成%df 阅读全文

摘要： 补坑加1，这几天快速刷一下sqllabs 来巩固下sql注入基础吧，也算是把很久以前没刷的过一遍，do it！ 第一部分： LESS1: 直接报错，有回显的注入， http://localhost/sqli-labs-master/Less-1/?id=1' order by 3--+ 就可以确定字 阅读全文

摘要： LESS54: 只有10次尝试，dump处secret key 直接union 查就可以，括号为单引号闭合 LESS55： 尝试出来闭合的方式为)括号，后面操作与54相同 LESS56： 尝试出来括号闭合方式为')，其它与54相同 LESS57: 括号闭合方式为"双引号，其他与前面相同 LESS58 阅读全文

摘要： 虽然是N1CTF原题，但是自己没遇见过，还是做的题少，记录一下吧== 1.源码泄露，直接可以下到所有源码，然后代码审计到一处insert型注入： 这里直接带入insert里面，跟进去看看 insert函数对values进行正则替换，先调用get_columnsp 这里把数组分成以` , `连接的字符 阅读全文

摘要： 快速了解MongoDB 基础概念   MongoDB 是由C++语言编写的，是一个基于分布式文件存储的开源数据库系统。MongoDB 将数据存储为一个文档，数据结构由键值 对组成。MongoDB 文档类似于 对象。字段值可以包含其他文档，数组及文档数组。 常用MongoDB语句分 阅读全文

摘要： 记录一些ctf题目中近期遇到的一些文件操作trick,不定时更新 1.move_uploaded_file 一般用来保存上传的文件，第二个参数一般是最终保存的文件名，针对此函数，若在一定条件下$new_name完全可控，即可以穿越路径，可以对已经存在的文件进行覆盖。 假设正常文件内容如下： exp. 阅读全文

摘要： 补坑+1。 有预留的后门，并且给了phpinfo，因此可以从phpinfo中先搜集一波信息： 这里禁用了很多命令执行的函数，所以应该要bypass_disablefunction，先读一下flag在哪，但是这里有openbase_dir限制，因此能够还必须绕过它，这里system默认忽略openba 阅读全文

摘要： 因为都有源码，所以这里直接从源码开始分析： 1.Easy web 这道题本来的意思应该是通过注入来load_file读取config.php来泄露cookie的加密密钥，从而伪造身份进行登陆再上传shell 这里本来addslashes以后就基本没法注入，但是这里却多了两行替换，所以能够继续注入， 阅读全文

摘要： 攻击场景： 实际上就是通过主从特性来 同步传输数据，同时利用模块加载来加载恶意的用来进行命令执行的函数，从而进行rce redis之前的攻击方法有 1.写shell 但是对于网站根目录而言，redis不一定据有写权限 2.root权限写crontab或者ssh文件 高版本redis运行时为非root 阅读全文

摘要： Imagetragick介绍： 命令执行漏洞是出在 ImageMagick 对 https 形式的文件处理的过程中。 ImageMagick 之所以支持那么多的文件格式, 是因为它内置了非常多的图像处理库, 对于这些图像处理库, ImageMagick 给它起了个名字叫做”Delegate”(委托) 阅读全文

摘要： 通常bypass的思路如下 readelf -Ws /usr/bin/sendmail 通过readelf可以查看id程序可能调用的系统API函数，这个命令结果仅代表可能被调用的API，不代表一定调用 通过strace -f +程序执行 才能看到程序实际的内部调用情况 1.利用LD_PRELOAD 阅读全文

摘要： 题目地址： https://github.com/eboda/insomnihack/tree/master/l33t_hoster 源码如下: 这道题首先可以上传.htaccess，那么此时就可以让服务器去解析任意后缀当作php执行，一步一步看 首先 这一段代码判断$parts的值，但是如果上传. 阅读全文

摘要： 补坑。 什么是shellshock CGI是一种协议，旨在允许web服务器直接执行服务器中类似控制台程序，这些程序也就是CGI脚本，通常用来处理来自动态网页的数据并通过HTTP进行交互。 必须指定一个新目录，通常是cgi-bin或者类似的名字，以使CGI脚本能够运行。当浏览器请求CGI目录中包含的特 阅读全文

摘要： 在学习opcache的时候，看到了这个题目，刚好有环境，就来复现一下，这个题目也让我学到了很多。 创建镜像： docker build -t 0ctf-ezdoor . 启动容器： docker run -itd -p 9010:80 --name 0ctf-ezdoor 0ctf-ezdoor 源 阅读全文

摘要： 比赛中或者渗透中如果遇到phpinfo，从里面发现的一些线索能够对后续的渗透和解题帮助很大，这里记录总结一下目前网上比较常用的的。 下图来源于：https://seaii-blog.com/index.php/2017/10/25/73.html 1.绝对路径(_SERVER["SCRIPT_FIL 阅读全文

摘要： fastcgi(9000端口)： 以下这段话摘自p神 http数据实际上是由客户端浏览器到达服务器中间件，中间件再将数据再次封装打包给后端语言进行处理，处理结束再返回给服务器中间件。 php-fpm(fastcgi进程管理器)： FPM其实是一个fastcgi协议解析器，Nginx等服务器中间件将用 阅读全文

摘要： 前言： 这篇文章主要对一些可以进行反序列化的php内置类的分析总结（膜lemon师傅之前的总结），当然不是所有的php内置类在存在反序列化漏洞时都能够直接利用，有些类不一定能够进行反序列化，php中使用了zend_class_unserialize_deny来禁止一些类的反序列化，比如序列化Dire 阅读全文

摘要： 之前遇到过很多次php反序列化相关的内容，总结一下。 常见的PHP魔术方法： 1.PHP反序列化与POP链 1.1Autoloading与（反）序列化威胁 1.2Composer与Autoloading 寻找依赖库漏洞的方法，可以说是简单粗暴：首先在依赖库中使用RIPS或grep全局搜索__wake 阅读全文