07 2020 档案
摘要:题目提示要买lv6,于是在下面寻找lv6,但是点击了多次下一页仍没有发现lv6 于是果断编写python脚本来查找 首先确认一下lv6在源代码中的名称 然后遍历每一页查找lv6字符串即可 import requests url = "http://abc35a7b-7533-4306-b69c-76
阅读全文
摘要:扫描目录后发现robots.txt 访问hint.txt 题目提示了一句SQL语句 select * from users where username='$_POST["username"]' and password='$_POST["password"]'; 返回首页,输入admin'/adm
阅读全文
摘要:1 <?php 2 error_reporting(0); 3 //听说你很喜欢数学,不知道你是否爱它胜过爱flag 4 if(!isset($_GET['c'])){ 5 show_source(__FILE__); 6 }else{ 7 //例子 c=20-1 8 $content = $_GE
阅读全文
摘要:1 <?php 2 3 error_reporting(0); 4 $text = $_GET["text"]; 5 $file = $_GET["file"]; 6 if(isset($text)&&(file_get_contents($text,'r') "I have a dream")){
阅读全文
摘要:发现有两个页面,分别为Flag,Hint 、 Hint.php给出提示从ip地址入手 使用burpsuite抓取Flag页面的包,尝试添加X-Forwarded-For头,并赋值127.0.0.1,ip地址发生变化 因为直接将127.0.0.1输出到页面,可以猜测是ssti模板注入尝试使用paylo
阅读全文
摘要:考点:二次注入,无列名注入尝试使用单引号判断是否存在注入 报错说明存在二次注入 经过尝试发现过滤了空格,or,and,--+,#,order等关键字order by可以使用group by代替,空格可以使用/**/代替,注释符可以采用闭合的方式代替,如group by 1,'2另外通过报错语句可以猜
阅读全文
摘要:1 import flask 2 import os 3 4 app = flask.Flask(__name__) 5 6 app.config['FLAG'] = os.environ.pop('FLAG') 7 8 @app.route('/') 9 def index(): 10 retur
阅读全文
摘要:使用admin/admin进行登陆 尝试使用万能密码,admin' or 1=1--+/admin进入到如下界面 尝试对登录进行抓包,发现源代码中有提示 访问L0g1n.php 使用bp进行抓包,发现请求包cookie头中有time参数,将其数值调大,在后面多加几个9就可以了 提示不是从localh
阅读全文
摘要:[BJDCTF2020]Mark loves cat 发现git泄露,使用gitHack工具进行分析 python GitHack.py http://00db6bf7-dacb-4734-965d-9974f3882333.node3.buuoj.cn/.git 获得index.php和flag.
阅读全文
摘要:该题考查cve-2018-12613-PhpMyadmin后台文件包含漏洞使用御剑进行扫描发现phpmyadmin/目录,无需密码便可以进入查看相关版本信息 百度一下发现phpmyadmin4.8.1版本文件包含漏洞,问题出在index.php的target参数位置 // If we have a
阅读全文
摘要:查看URL,发现img参数后面应该是base64加密,尝试解码 http://0ec6d84a-930a-4d8a-8aeb-10862f2da5ee.node3.buuoj.cn/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd base64解密-》bas
阅读全文
摘要:hint提示cve-2020-7066,于是搜索一下漏洞详情 cve-2020-7066 PHP 7.2.29之前的7.2.x版本、7.3.16之前的7.3.x版本和7.4.4之前的7.4.x版本中的‘get_headers()’函数存在安全漏洞。攻击者可利用该漏洞造成信息泄露。 描述 在低于7.2
阅读全文
摘要:使用单引号进行闭合,发现报错 尝试报错注入,发现过滤select,where关键字 http://720c503a-2cc6-49df-b546-18f9725fb031.node3.buuoj.cn/?inject=1'and (extractvalue(1,concat(0x7e,(select
阅读全文
摘要:目录遍历发现/.git泄露 使用GitHack工具进行利用 https://github.com/lijiejie/GitHack 执行命令后会得到index.php 1 <?php 2 include "flag.php"; 3 echo "flag在哪里呢?<br>"; 4 if(isset($
阅读全文
摘要:使用burpsuite进行目录扫描,发现网站备份文件 index.php 1 <?php 2 require_once('class.php'); 3 if($_SESSION['username']) { 4 header('Location: profile.php'); 5 exit; 6 }
阅读全文
摘要:使用字典fuzz一下,发现过滤了空格,and,1=1,union,select,sleep,=等关键字但是没有过滤informaion_schema,updatexml等关键字,说明让我们使用报错注入,and被过滤可以使用or或者异或^代替,空格被过滤可以使用括号代替 查询数据库http://b80
阅读全文
摘要:使用单引号测试是否存在注入,发现页面报错跑一下字典查看过滤了哪些关键字,函数 发现过滤了information.schema.tables,应该不是常规的注入 在响应包中发现了注释的内容 base32解密后,在使用base64进行解密 base32 和 base64 的区别 base32 只有大写字
阅读全文
摘要:代码审计的题目,考点为反序列化漏洞 1 <?php 2 3 include("flag.php"); 4 5 highlight_file(__FILE__); 6 7 class FileHandler { 8 9 protected $op; 10 protected $filename; 11
阅读全文
摘要:题目提示是thinkphp5,直接搜索thinkphp5的漏洞 发现thinkphp5有远程命令执行漏洞,详细如下文章 https://www.freebuf.com/vuls/194105.html payload: _method=__construct&filter[]=system&serv
阅读全文
摘要:1 <?php 2 3 if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { 4 $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; 5 } 6 7 if(!isset($_GET['host
阅读全文
摘要:点击界面上的help 通过URL filename参数发现疑似任意文件下载漏洞 但是用get的方式无法下载成功,显示文件没有找到异常,可以尝试使用post的方式下载文件,发现成功下载文件 我们可以直接下载WEB-INF/web.xml配置文件,WEB-INF文件夹下的文件是不能被直接访问到的,通常是
阅读全文
摘要:鼠标移动到灯泡上发现文件上传 上传php文件被拦截,尝试使用大小写绕过,上传Php格式文件,上传成功但是没有被正确解析 使用burpsuite fuzz一下可以上传文件类型,发现.phtml类型可以上传,访问可以正确解析 然后使用蚁剑进行连接,flag位于系统根目录
阅读全文
摘要:在输入框中随便输入一个值,点击提交,响应包中发现hint提示 当存在md5($password,true)时,我们可以通过传递ffifdyop,让sql语句where后面语句变成password = 'xxxx' or true,达到永真,相当于万能密码 具体原理参考文章:https://blog.
阅读全文
摘要:访问页面如下 随便输入数值,回车后查看源代码 提示是ssti模板注入 如果对于模板注入不熟悉,可以使用tplmap https://github.com/epinna/tplmap 使用方法和参数和sqlmap类似 python tplmap.py -u "http://6a3636c7-131e-
阅读全文
摘要:使用burpsuite fuzz可以上传的文件格式,文件内容为一句话木马 发现可以上传phtml格式 使用目录遍历找到上传文件目录,为/upload/ 然后使用蚁剑连接上去,flag在根目录
阅读全文
摘要:使用burpsuite进行目录遍历,发现index.php.bak备份文件 1 <?php 2 include_once "flag.php"; 3 4 if(isset($_GET['key'])) { 5 $key = $_GET['key']; 6 if(!is_numeric($key))
阅读全文
摘要:查看源代码 1 <?php 2 $text = $_GET["text"]; 3 $file = $_GET["file"]; 4 $password = $_GET["password"]; 5 if(isset($text)&&(file_get_contents($text,'r') "wel
阅读全文
摘要:查看源代码,发现pay.php文件 访问pay.php,并查看源代码 注释提示以post的方式传递money和password参数 1 if (isset($_POST['password'])) { 2 $password = $_POST['password']; 3 if (is_numeri
阅读全文
摘要:常规sql注入题,尝试使用万能密码进行登陆 http://115b19cd-bb0f-4a8e-8dcb-c520d8553667.node3.buuoj.cn/check.php?username=admin%27 or 1=1%23&password=admin 貌似or关键字被过滤,尝试使用双
阅读全文
摘要:使用字典进行目录扫描,发现robots.txt和flag.php文件 访问robots.txt,发现备份文件 备份文件内容为 1 <?php 2 3 class UserInfo 4 { 5 public $name = ""; 6 public $age = 0; 7 public $blog =
阅读全文
摘要:命令执行常规题目,直接cat根目录下的flag ;cat /flag
阅读全文
摘要:首页提示flag位于flag表的flag字段 直接输入 ;select flag from flag; ,显示sql注入检测 单独输入select关键字没有被过滤,说明过滤了空格 使用语句 ;select(flag)from(flag); 返回false,结合上面单独输入select也返回false
阅读全文
摘要:点击tips后,发现url可能存在文件包含漏洞 http://42756bdc-671e-4064-b3eb-bf7c61903417.node3.buuoj.cn/?file=flag.php 使用php伪协议进行flag.php的文件读取 http://42756bdc-671e-4064-b3
阅读全文
摘要:打开页面发现 猜测是命令执行,ip应该为参数 http://e3a29edc-3eb0-45e6-9b0b-05b33ceac4a8.node3.buuoj.cn/?ip=;ls 发现flag.php 直接cat flag.php http://e3a29edc-3eb0-45e6-9b0b-05b
阅读全文
摘要:查看源代码,发现Secret.php 访问Secret.php,提示不是从https://www.Sycsecret.com来的 使用burpsuite进行抓包,添加Referer: https://www.Sycsecret.com,发包后提示使用Syclover" browser 修改User-
阅读全文
摘要:一道上传绕过题,先上传一个图片,将一句话插入到图片末尾 上传后提示过滤了<??> 这个时候可以使用字典fuzz一下可以上传的文件类型,发现并没有过滤.htaccess和.user.ini 讲一下.htaccess和.user.ini的区别: 比起.htaccess文件构成的PHP后门,.user.i
阅读全文
摘要:首页发现存在一句话木马 直接使用Hackbar提交post数据 发现flag位于根目录下面,一般来说一个友好的出题人都会把flag放在根目录下面 获取flag
阅读全文
浙公网安备 33010602011771号