随笔分类 - CTF
摘要:WEB 滴~ http://117.51.150.246/index.php?jpg=TmpZMlF6WXhOamN5UlRaQk56QTJOdz09 观察链接可发现jpg的值是文件名转hex再base64编码两次得到,由此得到任意文件读取漏洞 读取index.php http://117.51.1
阅读全文
摘要:hard Level 5- Fred CMS 十有八九是注入,不过测试引号和转义符并没发现什么,于是跑了下密码字典,竟然发现网页提示 sql injection detected! ,然后发现原来是密码中存在or关键字 测试了username处发现未拦截关键字,那注入点应该只存在于password,
阅读全文
摘要:http://chall.tasteless.eu/ 国外的一个靶场,都是单点知识,medium大部分还是比较简单 medium Level 1- Infiltration http://chall.tasteless.eu/level1/index.php?dir=ASC 观察URL应该能猜到后台
阅读全文
摘要:这道题其实是考jsp和java的,我没学过jsp,java倒是有一点了解,但是刚拿到题的时候还是看不懂java代码里的内容,所以去简单学习了下jsp(jsp教程),按照教程里的步骤搭建了eclipse 环境并打开这道题提供的项目源码在本地进行调试,然后又去百度了源码中的各个java函数,大致理解了整
阅读全文
摘要:也是经过一通扫描和测试,没发现其他有用信息,感觉这是个sql注入。其实对于二阶sql注入我以前没实践过,也没看过资料,只是知道这个名字,但不知道为何看到这道题就让我回想起了这个名词,所以查了一下二阶sql注入的资料:二阶sql注入。简单来说,就是第一次构造的恶意数据直接储存到了数据库中,但在其他地方
阅读全文
摘要:首先观察这个web应用的功能,可以任意留言,也可以搜索留言,当然我还用cansina扫描过网站,查看过源码,抓包查看过header等。没发现其他提示的情况下断定这就是个sql注入,可能存在的注入点呢,就是留言时产生 insert into 注入,或者搜索时产生的 like '%xx%' 注入。经过多
阅读全文
摘要:题目地址:http://ctf.bugku.com/files/5e480ecb178711e82bc847a208e15b32/misc80.zip 就一张二维码图片,用一些在线工具识别是乱码,用QQ识别出来是 用16进制编辑器打开发现末尾有段很突兀的数据,不属于bmp位图的内容,想必flag就在
阅读全文
摘要:题目地址:http://ctf.bugku.com/files/77decd384a172b9a2294e6c6acfd48cc/wifi.cap 下载是个.cap的文件,破解过wifi的童鞋肯定知道这是wifi握手包,即采用WPA加密方式的无线AP与无线客户端进行连接前的认证信息包,通过握手包便可
阅读全文
摘要:题目地址:http://45.76.173.177:23334/ create_function的匿名函数也是有名字的,名字是\x00lambda_%d,其中%d代表他是当前进程中的第几个匿名函数,所以直接拿burp爆破即可
阅读全文
摘要:题目地址:http://ctf.bugku.com/files/5986768ca8b96cead45aec16a88431b5/conf.bin 下载之后发现是个后缀名为bin的二进制文件,其实这个是路由器中的配置文件,其中包含着一些设置,用户账号,密码等信息,可以用RouterPassView打
阅读全文
摘要:查看源码得知由vim编写,所以查找备份以及交换文件 找到 /.index.php.swp ,下载后用vim -r恢复该文件即可得到源码 要执行 exec($command) 需要有一个GET参数传进来,应该是传一个sign,而且sign要满足上述代码中的check()函数,可以用 11259375
阅读全文
摘要:打开发现是海洋cms,那就搜索相关漏洞 找到一篇介绍海洋cms的命令执行漏洞的文章:https://www.jianshu.com/p/ebf156afda49 直接利用其中给出的poc /search.php searchtype=5&searchword={if{searchpage:year}
阅读全文
摘要:这道题也是让我很迷。。。 打开就是not found,让我一度以为是服务器挂了,细看发现有个404.php 访问也没发现什么东西,只有来自出题人的嘲讽 haha~ 不过在首页的header中发现个奇怪的东西,X-Method:haha,先记着,继续找线索 用cansina扫描发现一个文件 1.php
阅读全文
摘要:需要提交的captcha满足等式,肯定就是MD5碰撞了 附上脚本 尝试后发现登录处存在sql注入,于是用 ' or 1# 登录 看了下下载的几个文件发现都没有什么用,不过这个下载链接让我想到了文件包含/Challenges/file/download.php?f= 尝试读取index.php,构造.
阅读全文
摘要:打开题目看到提示 "do you know Vulcan Logic Dumper?" ,再查看源码看到"<!-- index.php.txt ?>",访问后发现一堆看不懂的东西 这肯定就是所谓的Vulcan Logic Dumper了,先了解下相关概念 PHP内核-Zend引擎:http://ww
阅读全文
摘要:网页源码提示用户信息在user.php中,直接访问是不会有显示的,于是查找相应的备份文件,vim交换文件等,最后发现/user.php.bak 用burp采用如下配置开始爆破 最后爆破出两个账号 登录之后查看源码,发现一个被注释的表单,看似应该存在文件上传漏洞,在页面按F12,更改网页,去掉注释 本
阅读全文
摘要:根据页面源码提示的 test1 test1 登录 刷新此页面并抓包,有个show=0值得关注 在发送的包的header中加一句show:1,即可得到member.php的源码 特别注意array_merge() 如果输入的数组中有相同的字符串键名,则该键名后面的值将覆盖前一个值。然而,如果数组包含数
阅读全文
摘要:题目地址:http://ctf5.shiyanbar.com/web/wonderkun/index.php 根据提示 “我要把攻击我的人都记录db中去!” 猜测这是insert into注入,会向数据库储存ip地址,所以注入点便是我们的ip,而ip可以用X-Forwarded-For伪造 由于注入
阅读全文
摘要:题目地址:http://ctf5.shiyanbar.com/web/PHP/index.php 抓包在header中发现提示 访问得到源码 通读源码,总结出flag需要以下条件 1.POST提交一个number值 2.number不能提交纯数字,包括16进制(0x22aa)和科学计数法形式(2e1
阅读全文
摘要:题目地址:http://ctf5.shiyanbar.com/web/earnest/index.php 过滤和拦截了某些东西,我经过多次尝试,最终构造的是 1'=(ascii(mid((select(group_concat(table_name))from(infoorrmation_schem
阅读全文
