2.1k words 2 mins.

# [NESTCTF2019]LoveMath2 源码 <?php error_reporting(0); //听说你很喜欢数学,不知道你是否爱它胜过爱flag if(!isset($_GET['c'])){ show_source(__FILE__); }else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 60)...
924 words 1 mins.

# virink_2019_files_share # 进来就是 js 小游戏,没有什么提示说还原后才给 flag,所以可以直接信息搜集 <head> <meta charset="UTF-8"> <title>The Cube</title> <meta...
422 words 1 mins.

# [羊城杯 2020] Easyphp2 抓包看看,可以发现有个 pass 变量将他换一下成 GWHT 之后,发现页面改变 传递的框框是传在了 count 变量,在下面有回显,可以直接传参写马(记得 url 编码) '%7C%20echo%20%22%3C%3F%3Deval(%5C%24_POST%5B'shell'%5D)%3F%3E%22%20%3E%20shell.php%20%7C%7C' 有了马直接蚁剑连接(但是不能直接访问 flag.txt): 还有 / GWHT/README 中有 md5 密码解密得: GWHTCTF 在 /...
1.1k words 1 mins.

# [安洵杯 2019] iamthinking # dirsearch 搜集到 www.zip 文件: 发现是 thinkphp6.0 版本: thinkphp6.0 有两个计较明显的漏洞: 一个文件上传:要开启 session(本题没开) 一个就是反序列化:本体有个 unserilize 函数 那就是反序列化了 php 脚本: <?php namespace think\model\concern; trait Attribute { private $data = ["key" =>...
1.6k words 1 mins.

# [XNUCA2019Qualifier]EasyPHP 源码: <?php $files = scandir('./'); foreach($files as $file) { if(is_file($file)){ if ($file !== "index.php")...
1.1k words 1 mins.

# [GWCTF2019] 你的名字 # 进去就是一个 ssti 经典:好多东西被禁了 {{}},union,select,/,/**/ 这是被禁了,会在后面加上!禁了{{}}还以为不是ssti了 然后就没了,虽然知道了也不会做········ 它用了{%print %}这种形式,这样就能打印出执行信息了 试了下 {%print lipsum...
1.8k words 2 mins.

# [RoarCTF2019]SimpleUpload 推荐链接:https://inanb.github.io/2021/09/15/RoarCTF-2019-Simple-Upload/ 源码: <?php namespace Home\Controller; use Think\Controller; class IndexController extends Controller { public function index() { show_source(__FILE__); } public function...
1k words 1 mins.

# [NPUCTF2020]ezlogin 首先发现一个 <username></username><password></pwssword><token></token> 的模板,以为是 xss,注入半天搞不了,(content-type:application/xml) 结果是 xpath 注入: # xpath 注入 xpath 注入详细介绍 在我对 xpath 注入的理解是类似于 SQL 注入。 在 xpath...
1k words 1 mins.

# [GoogleCTF2019 Quals]Bnv 先 bp 抓包发现 是 json 数据:由 json 数据想到是 xxe 注入,再次基础上修改 Content-Type 为 application/xml, 发现是少了一个 <,感觉是少了一个 xml 文件的头,加一个 <?xml version="1.0" encoding="UTF-8"?> 报错说是没找到 DTD 文件,添加 DTD 文件的实体 <?xml...
1.2k words 1 mins.

# [Black Watch 入群题] Web # 发现可以 SQL 注入,盲注(json 数据需先解码): import requests flag = '' # 查库名 payload1 = '1^(ascii(substr((select(database())),{},1))>{})^1' # 库名为news # 查表名 payload2 =...