烨 - Ye's Blog

摘要： 前面的突破点考察swp泄露以及md5截断认证，最后一步考察ssi注入 进入题目是一个登陆页面什么提示都没有，工具扫了一下发现swp泄露，得到登录验证页面的源码： <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRST 阅读全文

摘要： 本题考察XFF头的ssti模板注入，没有过滤，算是入门题 进入题目hint.php的源码中可以看到一个hint 猜测是通过XFF头来获取信息的，发个HTTP请求添加一个XFF头测试一下： GET /flag.php HTTP/1.1 Host: node3.buuoj.cn:25656 User-A 阅读全文

摘要： 前面考察取反或者异或绕过，后面读Flag那里我用脏方法过了，没看出来考察啥 进入题目给出源码： <?php error_reporting(0); if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("Th 阅读全文

摘要： 主要考察RCE的防护绕过，感觉考的还是比较全的 先构造Payload: ?ip=127.0.0.1;ls 看到目录下有两个文件，fuzz一下发现过滤了 空格 / + * ? { } ( ) [ ]等符号以及Flag字符串，fuzz出这些就会发现=和$没有过滤 所以想到的思路就是使用$IFS$9代替空 阅读全文

摘要： 有点脑洞的题，题目不难，主要考察注入和联合查询的一个小特点 进入题目是一个登录框，看看源代码，在search.php文件中发现了这个 大写的字母和数字很明显是base32，先用base32解码一下，发现还有一层base64，继续解码得到后端处理的SQL语句： select * from user w 阅读全文

摘要： 前几天拿到了线下赛的源码，做做看。这道主要是命令执行的黑名单绕过 先看看给出的代码: <?php highlight_file(__FILE__); error_reporting(0); $blacklist = ["system", "ini_set", "exec", "scandir", " 阅读全文

摘要： 最近看到了一个国外高中生的CTF比赛，翻了一下往年的例题，发现有一道关于jwt session伪造的题比较有意思，记录一下 题目简介中给出了我们题目的地址和后端处理的源码，看看源码先代码审计一下： const cookieParser = require('cookie-parser'); cons 阅读全文

摘要： CTF三大骗局：Baby Easy Funny，本题主要考察.htaccess文件解析文件、文件类型检测绕过 打开题目给了一个上传点，上传一个php文件看看过滤规则 “后缀名不能有ph”直接禁掉了所有可以直接执行php的后缀名，自然想到利用.user.ini或.htaccess文件来将其他文件解析成 阅读全文

摘要： 两道题都比较简单，所以放到一块记下来吧，不是水博客，师傅们轻点打 BackupFile 题目提示“Try to find out source file!”，访问备份文件/index.php.bak获得index.php源码（其实这里还试了一小会，本来以为是www.zip、bak.zip之类的，最后 阅读全文

摘要： 简单的上传题，考察绕过前端Js验证，phtml拓展名的应用 打开题目点亮小灯泡后可以看到一个上传点 传一个php测试一下： 发现有文件拓展名检查，F12发现是Js前端验证： 审查元素直接删掉，继续上传PHP文件测试： 发现还是被过滤了，应该是后端还有一次验证，换成phtml文件测试，phtml文件代 阅读全文