type
status
date
slug
summary
tags
category
icon
password
[极客大挑战 2019]EasySQL
万能密码 admin' or 1=1# 密码随便
[极客大挑战 2019]Havefun
查看源码?cat=dog
[ACTF2020 新生赛]Include
直接伪协议
[HCTF 2018]WarmUp
查看源码发现source.php,然后有发现hint.php,发现ffffllllaaaagggg
[ACTF2020 新生赛]Exec
[GXYCTF2019]Ping Ping Ping
通过尝试发现” ‘ ? * flag \ {等被禁
[极客大挑战 2019]Secret File
查看源码发现/Archive_room.php,点击按钮后快速跳转网页,进行抓包发现
secr3t.php
使用伪协议
[ACTF2020 新生赛]BackupFile
使用dirsearch扫,发现/index.php.bak,下载后查看发现代码
[极客大挑战 2019]Upload
上传文件抓包,发现直接改后缀没用,修改Content-Type文件内容格式为image/png
尝试发现可以使用phtml作为后缀,同时过滤<?,将一句话木马改为
发现还是不行,在前面添加一个GIF89a(相当于在16进制格式添加gif文件头)成功上传
访问/upload/1.phtml
[ACTF2020 新生赛]Upload
传简单的一句话木马的png抓包改为phtml
[MRCTF2020]你传你🐎呢
上传文件.htaccess
上传文件1.png
Content-Type: 都改为image/jpeg,蚁剑连接,根目录找到flag
[GXYCTF2019]BabyUpload
步骤与上一题一样,一句话木马改为
[极客大挑战 2019]Knife
直接蚁剑连接,flag在根目录
[极客大挑战 2019]PHP
使用dirsearch扫发现/www.zip,下载解压发现是反序列化
利用对象属性个数的值大于真实属性个数绕过__wakeup()
[极客大挑战 2019]BuyFlag
在payflag页面查看源码,发现相关信息
直接传发现没反应,用bp抓包,传了还是没反应,看见cookie:user=0,改为1
提示Nember lenth is too long
改为科学计数法
[RoarCTF 2019]Easy Calc
查看源码发现calc.php
利用%20绕过对num的检测,查看phpinfo()可以看到禁用函数
利用chr函数构造进行绕过
[HCTF 2018]admin
直接爆破,密码是123
[ZJCTF 2019]NiZhuanSiWei
通过data协议包含输入流然后利用伪协议读取useless.php
解码后得到
即可
[MRCTF2020]Ez_bypass
即可
[网鼎杯 2020 青龙组]AreUSerialz
可以发现如果要触发flag
由于is_valid($s)限制,无法成功获取flag
php7.1+反序列化对类属性不敏感
[NPUCTF2020]ReadlezPHP
查看源码,发现time.php?source
assert是php之中的断言,如果传入的是字符串则会把它作为php代码执行
[BSidesCF 2020]Had a bad day
随便点一点发现?category=woofers,猜测直接命令执行,结果显示Sorry, we currently only support woofers and meowers.并且后面会拼接.php尝试截断发现Warning: include()…
应该就是文件包含,然后直接伪协议
[网鼎杯 2020 朱雀组]phpweb
抓包发现参数尝试看目录失败,尝试看文件
应该是反序列化
[BJDCTF2020]The mystery of ip
在flag.php看见ip,尝试修改xxf发现会回显修改的值,猜测是ssti
[极客大挑战 2019]BabySQL
通过1’ 1=2—+发现是字符型注入,尝试发现有3列
通过爆破发现or and from ,select union where等会被替换为空
[SUCTF 2019]EasySQL
通过爆破发现union,from,and,or,information等被禁
输入1,2,3时发现
Array ( [0] => 1 [1] => 2 [2] => 1 )
按理说最后应该是3,但是为什么是1呢
当查询时进行逻辑运算时会出现这种情况
[极客大挑战 2019]LoveSQL
判断为字符型注入,闭合符为’,列数为3,使用union注入
[GXYCTF2019]BabySQli
字符型注入,’闭合,有3列,查看源码发现有大串编码,解密得到:select * from user where username = '$name’
传入admin发现会由之前wrong user变为wrong pass 说明有admin账户
通过
看一篇wp说直接猜测search.php源码,直接人麻了,翻了几篇博客才发现题目那里可以看源码
会对传入的密码进行MD5加密然后与数据库的密码对比,若为真就输出flag
联合查询并不存在的数据时,联合查询就会构造一个 虚拟的数据表
[安洵杯 2019]easy_web
抓包发现?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=
CyberChef解码发现是555.png尝试读取index.php,进行hex加密然后两次base64
将结果解码
利用\绕过命令的过滤,由于进行了类型转换,不能使用数组
使用以下进行md5强比较绕过
[BJDCTF2020]ZJCTF,不过如此
通过php://input,php://filter进行绕过
抓包传入
将结果解码
获取第一个get传入的参数与它的值,通过正则\S*绕过
[BUUCTF 2018]Online Tool
函数名 | 用途 | 作用对象 | 示例 | 处理效果 |
escapeshellarg() | 安全转义参数 | 单个参数值 | ls 'abc; rm -rf /' | 加引号包裹 + 内部转义 |
escapeshellcmd() | 安全转义整个命令行 | 整条命令 | ls\; cat /etc/passwd | 特殊字符前加反斜杠 |
[极客大挑战 2019]RCE ME
无数字字母rce,通过取反构造进行绕过
使用蚁剑连接,flag在根目录但是看不到,通过插件绕过disable_functions执行/readflag得到flag
[网鼎杯 2018]Fakebook
注册账号并可以成功登录,发现?no=1尝试命令执行发现
[*] query error! (Unknown column 'ls' in 'where clause')
是sql注入
最后发现
sanye4e2e603ad32bb2e1335b383c6d4b9a6d353cca643f2808e389a06cb1af930dd661ba77ad76061192ef5baf562297bcc6aeb5e9580c7f6f7ec6b7a353fc96d03d
O:8:"UserInfo":3{s:4:"name";s:5:"sanye";s:3:"age";i:18;s:4:"blog";s:5:"4.com";}
wp说有robots.txt,得到user.php.bak
通过反序列化写入file://伪协议进行读取flag
- 作者:sanye
- 链接:https://510517.xyz/article/1.24
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
