09 2020 档案
摘要:为啥想写这道题的wp呢,因为这道题就是照着phpmyadmin 4.8.1 远程文件包含漏洞(CVE-2018-12613)复现出来的 题目 查看源码很容易找到source.php,直接访问 分析 题目的意思也很好理解主要是要这三个条件全部满足,就会进行文件包含 if (! empty($_REQU
阅读全文
摘要:今天刷到了BUU上的一道题,那道题用到的就是phpmyadmin 4.8.1 远程文件包含漏洞(CVE-2018-12613)这个漏洞,所以在此总结一下 受影响版本 phpmyadmin 4.8.{1,2} 环境 https://github.com/vulhub/vulhub/tree/maste
阅读全文
摘要:最近也是一直在做ssti方面的题目,我发现了两款比较好用的工具,一个是arjun(用来探测参数),另一个是Tplmap(用来探测ssti漏洞),我们这里以一道题目为例来演示一下 题目 我们拿到题目 分析 题目连一个参数都没,这里我们就用到了arjun这款工具 Arjun:一款http参数扫描器,主要
阅读全文
摘要:拿到这道题,抓包看了看,啥也没有,考虑用dirsearch爆破目录,未果,忍不住看了下大佬的wp,原来是./git源码泄露,当然这并没有完,精彩的还在后面呢,我们来看一下这道题 前言 本题主要用到5个函数 1.localeconv() 返回一包含本地数字及货币格式信息的数组。而数组第一项就是. 2.
阅读全文
摘要:今天做的这道题比较偏审计,当时拿道题目的确发慌,也是看着大佬的wp一步步做出来的,这题就是需要你扎实的基本功,要有耐心,一步步跟着回溯,就可以做出来 题目 拿到题目代码很乱,可放在pycharm里Ctrl+Alt+L将代码格式化一下 1 #! /usr/bin/env python 2 #encod
阅读全文
摘要:今天做的这道题是18年网鼎杯堆叠注入的衍生版,这里记录一下 题目 分析 ?inject=1' 报错 ?inject=1'--+ 正常 然后查看有多少字段 ?inject=1' order by 2--+ 然后用联合查询 ?inject=1' union select 1,2--+ 发现有过滤 试试用
阅读全文
摘要:今天做的这道题是关于escapeshellarg()+escapeshellcmd()这俩函数的,也是看了下wp,这里记录一下 题目 拿到题目,题目看着简单,很好懂 分析 remote_addr和x_forwarded_for这两个是见的比较多的,服务器获取ip用的,这里没什么用, escapesh
阅读全文
摘要:今天这道题很有意思,记录一下,我刚开始以为是时间盲注,都把它的数据库注出来了,但后来发现进行不下去了(发现自己思路错了),警告自己要注意细节(切记base32编码) 题目 题目是一个登录框 先抓个包看一下 返回包中有一串字符,像是base32编码的特征 先进行base32解码 再进行base64解码
阅读全文
摘要:平时在渗透测试过程中,遇到传输的数据被js加密的比较多,这里我以有道翻译为例,来分析一下它的加密参数 前言 这是有道翻译的界面,我们随便输入一个,抓包分析 我们发现返回了一段json的字符串,内容就是翻译后的内容 当我们将"i"字段'pig'改为'dog'时,再次重放就会发现返回错误 这可能就是因为
阅读全文
摘要:记录一道关于flask模板注入的题目,今天刷题也是遇到了,所以拿出来与大家分享一下 拿到题目,是一个Google的登录框 分析 先随便输入一个数值 发现我们输入啥,就会回显出啥,我当时猜想是模板注入的问题 输入{{2*6}} 果真是模板注入问题 一些简单的注入 {{config}}可以获取当前设置
阅读全文
摘要:今天做的这道题很有意思,跟之前做的浙大oj上的题目很类似,都是考了md5(string,raw)这个函数,所以这里我要记录一下 题目 拿到题目,是一个框 分析 先随便输入一个数值,抓包看看 发现返回包中有这么一条查询语句select * from 'admin' where password=md5
阅读全文
摘要:题目 拿到题目 分析 第一个绕过 if(isset($text)&&(file_get_contents($text,'r') "welcome to the zjctf")) file_get_contents($text,'r')是读取文件的内容,说明我们首先要上传一个文件,并且它的内容还得是"
阅读全文
摘要:题目 拿到这道题,是给了提示的,我们猜想是一道注入的题目 分析 我们先提交一个1,抓个包看看 再跟个1'呢 发现报错,再输入1' or 1=1--+,猜想后端应该是做了某种过滤 我们先来fuzz一下,看到底哪些关键字被过滤掉了 把数据包放到爆破模块中 导入我们的fuzz字典,然后开始爆破 leng=
阅读全文
摘要:题目 分析 先抓个包吧 发现了tip 分析一下, is_numeric() 函数用于检测变量是否为数字或数字字符串。 后面是弱类型比较,用404abc便可绕过 password=404abc&money=100000000 将user=1试试 数值太长,用科学计数法试试 还可用strcmp函数特性绕
阅读全文
摘要:知识点 1.Content-Type绕过 2.文件头绕过 3.后缀名绕过 题目 拿到题目是一道上传题 先来简单地上传一个一句话木马 <?php @eval($_POST['a']);?> 保存为a.php 抓包 提示Not image! 那我们来更改一下Content-Type: image/jpe
阅读全文
摘要:题目 拿到题目是一个登录框,结合题目来看,应该是个注入题 点击登录之后 分析 ?username=admin&password=admin' ?username=admin&password=admin' oorr 1=1--+ ?username=admin&password=admin' unu
阅读全文
摘要:本题是某信有一次内部比赛的题目,涉及到pop链的构造问题,所以在这里与大家分享一下 题目 查看源码 逻辑是当参数fn存在且不包含string、zlib、flag这三个字符串时,进行文件包含这里的过滤是为了防止我们直接读取到flag.php的源码,因为毕竟题名是反序列化如果不存在fn,对code进行反
阅读全文
摘要:那次某信内部比赛中有道pop链问题的题目,我当时没有做出来,所以在此总结一下,本次以buu上复现的[MRCTF2020]Ezpop为例。 题目 1 Welcome to index.php 2 <?php 3 //flag is in flag.php 4 //WTF IS THIS? 5 //Le
阅读全文
