07 2019 档案
摘要:原题链接:http://www.wechall.net/challenge/training/mysql/auth_bypass1/index.php 题目告诉我们这是一个经典的mysql注入挑战,我们的任务很简单,就是用admin登录,而且你被给了源码,而且有高亮版本 我们点击source cod
阅读全文
摘要:原题链接:http://www.wechall.net/challenge/php0817/index.php 点看题目 意思是他有一个php写的系统,但是他很容易收到LFI的影响,然后我们的任务就是包含solution.php,然后给了我们三个链接 我们依次点击,会跳到三个不同的界面,然后url中
阅读全文
摘要:原题链接:http://www.wechall.net/challenge/training/encodings1/index.php 根据题目信息貌似是让我们用这个JPK来解码,我们先点击JPK去下载 下好了貌似是个解码软件,我们先复制那段截获的数据,然后试着去使用他的工具,慢慢的尝试,最后发现我
阅读全文
摘要:原题链接:http://www.wechall.net/challenge/training/prime_factory/index.php 题目信息大概是:找到最开始的两个超过1百万的素数,而且它任意和为素数,你的solution是将两位素数拼起来提交 这里我们写一个程序来跑。。。 起先我想到的是
阅读全文
摘要:原题链接:http://www.wechall.net/challenge/training/crypto/caesar/index.php 告诉我们这是个古凯撒密码,让我们解。。。我们百度下古凯撒密码 它是一种代换密码。据说恺撒是率先使用加密函的古代将领之一,因此这种加密方法被称为恺撒密码。凯撒密
阅读全文
摘要:原题链接:http://www.wechall.net/challenge/training/www/robots/index.php 打开网页他给我们说什么 说什么这是一个小挑战,你将会了解到机器人排除标准,robots.txtWeb爬虫用来检查它们是否允许爬行和索引您的网站,或者只是其中的一部分
阅读全文
摘要:原题链接:http://www.wechall.net/challenge/training/stegano1/index.php 很明显,这是一道图像隐写题,因为他说的 我们右键图片,点击其他窗口打开 他让我们下载,好吧,先下载下来,然后打开,发现没什么异样 将其重命名格式为php看看也没有什么猫
阅读全文
摘要:原题链接:http://www.wechall.net/challenge/training/encodings/url/index.php 题目信息:你的任务就是解码下面的东西。。。。 这个完全没难度,直接使用bp的解码功能 然后直接访问 http://www.wechall.net/challe
阅读全文
摘要:题目链接:http://www.wechall.net/challenge/training/encodings/ascii/index.php 让我们使用标准的美国信息交换编码格式解下面的ASCLL码,还给了我们一个有用的链接,点开看看 一些ASCLL码介绍以及编码解码表 大概的简介意思是:ASC
阅读全文
摘要:原题链接:http://www.wechall.net/challenge/training/get_sourced/index.php 提示告诉我们答案就藏在这个界面中,使用View Sourcecode去获取 我们右键查看源码 搜索整篇代码,最后在页脚处找到了答案 solution:html_s
阅读全文
摘要:点进去发现是个空白网页,查看源码发现一个login.php的文件,话不多说,直接选择复制然后访问 Url: http://5865f5830d034083b9bbc0dafc6b60a5d5d23099e81b4f63.changame.ichunqiu.com/login.php?id=1 页面显
阅读全文
摘要:看提示,他告诉我是个注入。。。试试 在url处疯狂尝试?id=1’,1”,1),1’),1”),1’#......发现都没有报错,看来不是报错注入了 然后尝试直接使用union select 1,2,3发现也不行。。。。有点蒙,看了下别人的wp才知道这里的union = 和select被过滤了,具体
阅读全文
摘要:观察网站最下方,根据备案号搜到这是个齐博CMS,然后百度就可以搜到齐博CMS漏洞了 然后开始利用 首先尝试了在用户信息修改处进行注入,发现好像想不通了,就在博客界面进行注入 Payload: 获取版本信息 http://2743f65d1ee44b2dbed1eee0a12863d3fa07aa9e
阅读全文
摘要:这道题直接让我们查网站根目录的flag,我首先想到的是一句话木马,但是奈何找不到上传的接口啊,只好作罢, 在下载发现有个cmseasy的标识,明显是要提示我们这里是easycms,百度easycms的漏洞然后注入 注入点: http://cac6d32bf8ff4b52becb3516148c9c1
阅读全文
摘要:打开是 一幅很唯美的穹妹图,咳咳!说正题,哥哥与妹妹。。。。。。不对不对,这里是web题! 观察url我们发现后缀是/index.php?jpg=hei.jpg,很明显这是一个文件读取的操作,我们直接看hei.jpg我网页发现是个很长很长的连接,根据提示是个base64代码,所以我们打开bp使用de
阅读全文
摘要:这道题貌似是一道简单上传题,原本想的是使用一句话木马,不管了先随便写个简单的php上传上去,然后点击上传成功的链接进去看看,发现我们的代码被原封不动的打印出来了,多次尝试后发现<?php和php被过滤了。。。。 所以这里我们就不使用<?和php 修改代码为 <script language="PHP
阅读全文
摘要:它提示我们这个真的是爆破。。。。好吧,我有点不信,他这个糟老头在坏得很 看看代码 1.第一句是规定报告错误级别为0,也就是Disable error reporting(不报告错误) 2.第二句是存储session数据,也就是在网页上给服务器个信息,我们来了 3.第三句是require函数:也是引用
阅读全文
摘要:这里告诉我们flag不在变量中 意思是flag就只是一段字符串了, 点开的php代码也比较简单 代码比第一题简单多了,意思是引用了flag.php,a等于hello,打印出var_dump($a),最后一行不用管 但是要解这道题似乎就复杂多了,这里的flag就不能使用变量引用GLOBALS了,因为f
阅读全文
摘要:点开题他告诉我们flag就藏在某六位变量中 点进链接 看到一段php代码 大概意思是 这里引用了flag.php文件(也就是隐藏的文件,我们看不见) a为@$_REQUEST['hello'],意思是a的变量和hello同步 然后依次比较a,如果不对就输出error,意思是我们的a,hello要符合
阅读全文
摘要:首先打开界面 发现没有提示给我们的dedeCMS工具,所以这里我们自己下载 http://file.ichunqiu.com/49ba59ab 再打开dedeCMS,粘贴上他给我们的网站 点一键爆。。。。就可以得到推荐那里显示的账号与密码,不过密码是md5加密 解密后是only_system,则on
阅读全文
摘要:首先看到的是一个输入框 不多说,直接bp抓下来 然后传repeater里,发现了pin值后showsource值,pin值没什么,应该是做题用的,而showsource是个隐藏的值,将其0改为1后go一下 右边出现了flag的提示 意思是如果a等于-19.........就输入The flag is
阅读全文
摘要:点击登录发现没用 然后康康源码 给出提示test使用的是md5加密,如果id为0就。。。。 这里使用php中==的漏洞,==只比较值的大小并不会比较数据类型 所以这里使用md5(0)的相等值240610708输入到username中 弹出提示 似乎是网页的后缀,加进去试试 似乎让我们用布尔? 这段代
阅读全文
摘要:先看题 分析信息: strrev是一个将字符串进行翻转的函数。 substr是一个取字符串子串的函数,其用法为strsub(str, start, length),第一个参数为字符串,第二个参数为起始位置,第三个参数为子串长度,返回的结果就是str字符串从start这个位置开始的长度为length的
阅读全文
摘要:进去一看 没什么奇特的地方,两个输入框一个提交 不多说,流程走一遍,先是看源码再抓个包 源码中提到了给index.text 点进去qio一哈,发现时打印flag的过程 抓包的话没遇到上面奇特的信息 算了,先分析源码吧 关键点在,如果($row[pw]) && (!strcasecmp($pass,
阅读全文
摘要:打开看到的又是这种输入框。。。。。感觉web题很多这种形式的啊 点击看一下源码 发现这题一共又四层,显示isset函数中输入password然后ereg函数中为真然后再password的长度小于8但是password的值又大于9999999.。。。。。感觉有点无语 最后strpos函数的值为真就输出
阅读全文
摘要:打开又是一个输入框的界面,点一下下面的看源码 很简短的一个源码 大概意思是如果password等于session[password]就输出flag 直接搜了下session函数的漏洞,发现session是用cookie传递的,当cookie被禁用时session就没法传递了,让session的值直接
阅读全文
摘要:进去后显示如下界面 先试试他的步骤,选择一个桌面上的文件然后submit 显示 直接把txt改为jpg试试 显示 呀!他这个有点皮啊,难道要我弄个jpg+php后缀的?当然不是 所以根据题目,既然是绕过我们试试bp拦截一下 拦截到以上界面 发现我们传入的图片在这 试试直接在后面补上1.php+就相当
阅读全文
摘要:先查看源码找找突破口 发现了一个很关键的sql语句 $sql="select * from users where username='$username' and password='$password'" 再试试对导航栏进行注入 ?username=1’ 没有如何反应 。。。。。有点尬。。。。试
阅读全文
摘要:仍然 1 1’ 1” 发现1’报错了。。。。。我觉得作者对’情有独钟 再试试 1# 1’# 1”# 发现都可以正常登录 试试1' and '1'='1和1' and '1'='2发现成功登录和不成功登录的区别在于显示hello不,这里并不会输出id= name= 所以这里应该是个报错型盲注 所以这里
阅读全文
摘要:尝试 1 1’ 1” 发现1’还是会报错,所以注入口还是1’ 再试试1' and '1'='1发现报出SQLi detected! 取消空格试试1'and'1'='1 似乎可以进入,应该就是过滤了空格 我们仍使用/**/的方法 1'/**/union/**/select/**/schema_name
阅读全文
摘要:首先查看源码找找思路 发现源码里什么都没有 再使用bp拦截下数据 多次拦截后发现我们在 输入框里输入的等下就是id= 意思是我们这里就可以直接使用get注入了 好像类似于sql-labs上的?id= 所以这里应该还用不上bp,我们直接对输入栏里进行注入试试 1 1’ 1” 发现1’会报错,所以这里的
阅读全文
摘要:今天在python中安装request模块时遇到了问题 爆出一大堆警告 最主要的是下面的 这里的解决方法就是更新pip: 直接使用系统给的pip升级指令好像不行 百度搜了一下,有两步 1.在C:\Python27\Lib\site-packages中写入一个sitecustomize.py impo
阅读全文
摘要:1.暂停kali上的ssh进程 root@kali:~# sudo stop ssh 2.卸载ssh服务 root@kali:~# apt-get remove openssh-server 这里可能卸载不干净 再使用 root@kali:~# apt autoremove 再使用,彻底清除干净 r
阅读全文
摘要:页面很简单,跟我们平时遇到的登录窗口差不多,看看源码,没什么可用的信息 在bp抓一下,传repeater中go一下,也没看到什么特别的地方,看来这道题应该是注入题了,尝试用户名1,1’,1”,1#,1’#,1”#,1),1’),1”),1’)#,admin......,其中发现输入admin和1’时
阅读全文
摘要:进去就让我们输入key,就很真实。 看看源代码有没有什么可以获取的信息 。。。。好吧,这道题不像是代码审计,可能是注入 试试在key后面注入试试吧 输入1’,1”,1#,1’)。。。。都没有反应,看来不是注入了 用bp抓包传入repeater看看 Request中好像没有什么,不多说,go一下看re
阅读全文
摘要:点开 一个警告然后告诉我们不被允许进入,需要我们安装.net framework 9.9,在英国,使用ie浏览器。。。。。。 看到第一条和第三条我本以为是真的,但看到英国就肯定这是欺骗我们的信息,所以我们要欺骗系统或则绕过系统 这里就直接bp抓包然后传入repeater中 在user-agent一栏
阅读全文
摘要:打开界面,点查看源码 明显是一道代码审计题,(具体有多明显我就不多说了 那我们就撇脚地审计一下:如果我们的GetIPs的值是1.1.1.1就打印key,具体的GetIPs函数: 意思是入门可以让$_SERVER["HTTP_CLIENT_IP"]等于1.1.1.1就行了 这里直接使用bp抓包然后修改
阅读全文
摘要:①使用sqlmap sqlmap.py -u "http://ctf5.shiyanbar.com/8/index.php?id=1" --dbs 查数据库名 sqlmap.py -u "http://ctf5.shiyanbar.com/8/index.php?id=1" -D my_db --t
阅读全文
摘要:不多说,直接使用脚本跑 获取数据库名称 然后再获取数据表,列,flag 获取flag (flag有点长,要跑一会儿)
阅读全文
摘要:打开页面看到提示 让我们看看响应头 我们用bp抓包然后穿repeater中go一下 得到 Flag似乎是个加密的字符串 使用bp自带的解码功能获取flag字符串 输进去尝试结果是错的。。。连续几次发现flag后面是随机生成的,是没有那么简单,看来我们想多了。。。。 似乎是要够快,要快就要用脚本 直接
阅读全文
摘要:使用万能密码1’=’0 直接得到了flag 有时候系统判定username和password值为布尔1时直接用万能密码就可以破开了
阅读全文
摘要:查看源码找到关键字段 搜一下md5函数 MD5(string,raw)raw 可选,默认为false *true:返回16字符2进制格式 *false:返回32字符16进制格式 所以构造payload:SELECT * FROM admin WHERE username = 'admin' and
阅读全文
摘要:先尝试1’,爆出 1”,爆出 再使用抓包 发现了一个test.php界面,进去看看 出现一堆代码,查看源码 看见网页源码 出现aes-128-cbc加密,百度一下发现是反转字节攻击 然后看看dalao们脚本,组成我们的payload-exp 写一个py文件 内容为 import requests,b
阅读全文
