[pasecactf_2019]flask_ssti
# [pasecactf_2019]flask_ssti
开局就是一个框,根据标题 ssti 直接
{{2*2}}
直接确定是 ssti
有很多限制(单引号’被过滤可以用双引号 " 代替;至于点。和下划线_被过滤可以采用 16 进制来表示,用的方式选定)
#...
more...
[GWCTF2019]mypassword
# [GWCTF 2019]mypassword
注册登录
这里加载了一个 js 文件
60d487b4-04d2-4e33-9aad-fbe0264c5ac6.node3.buuoj.cn/js/login.js
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split('; ');
var cookie = {};
for (var i = 0; i...
more...
[RoarCTF2019]OnlineProxy
# [RoarCTF2019]OnlineProxy
这里发现通过修改 X-FORWARDED-FOR 的值注释部分的内容也随之改变
尝试盲注,上传命令时第一次为 Current Ip 发现并不能执行,再次上传 Current Ip 时上次的 Current Ip 变为 Last Ip 也没有执行,再次 send 即可正常执行命令
简单尝试使用盲注得到所有库名,这里可以看到该方法是没问题的
爆破库名:
0' or...
more...
[EIS2019]EzPOP
# [EIS 2019]EzPOP
#
<?phperror_reporting(0);class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store = $store; $this->expire = $expire; }...
more...
[CISCN2019华东南赛区]Web4
# [CISCN2019 华东南赛区] Web4
打开有一个链接,那先点击一下
发现 url 处,很像命令执行,试一试。发现无论是什么都是 no response,又是各种尝试
发现直接传?url=/etc/passwwd 可以爆出回显,难道不是命令执行,是代码执行
先尝试一下目录穿越,发现 flag 被禁了
又是一波各种尝试,最后发现 app/appp.py 处可以获得源码。
这里记一点:url/read?id=xxxx 这种在 url 和参数中间又会有一段字符串的,可以考虑是写了路由,不是 php 后端,可能是 python...
more...
[GXYCTF2019]BabysqliV3.0
# [GXYCTF2019]BabysqliV3.0
文件包含获取源码:
home.php
<?php
session_start();
echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" />...
more...
bestphp'srevenge
# bestphp’s revenge
# index.php
<?php
highlight_file(__FILE__);
$b = 'implode';
call_user_func($_GET['f'], $_POST);
session_start();
if (isset($_GET['name'])) {
$_SESSION['name'] = $_GET['name'];
}
var_dump($_SESSION);
$a =...
more...
[RootersCTF2019]babyWeb
# [RootersCTF2019]babyWeb
分析
页面中告诉我们要找一串数字输进去,且过滤了一些关键词。
UNION 被过滤了说明堆叠注入没法用了,并且他还把 sql 语句给我们了,那大概率是报错注入了,试下看看。
SELECT * FROM users WHERE uniqueid=1
果然是报错注入,这边的 || 功能和 and 一样,用 and 也一样。
果然是报错注入,这边的 || 功能和 and 一样,用 and 也一样。
接下来就慢慢构造呗,这边有一个小的知识点,题目虽然过滤了引号,但我们可以用 16...
more...
[SUCTF2018]annonymous
# [SUCTF2018]annonymous
这题代码很少,就这几行
首先创建了一个匿名函数,会输出 flag
接着 openssl_random_pseudo_bytes (32) 生成一个随机数,然后将其转成了十六进制,将其赋值给 $hash
接着 SUCTF_和 hash 拼接成一个新的函数名,函数会执行上面构造的匿名函数
所以,要想获得 flag 就只有两种办法,直接执行匿名函数,或者执行 SUCTF_和 hash 拼接成的新函数
下面的 func_name 可以传一个函数名进去并执行该函数
这题最初想着直接传 $MY...
more...
[安洵杯2019]不是文件上传
传传传,各种传
*1*|***1*** 文件上传
1.MIME 类型检测绕过
设置为 image/jpeg,无果
2. 黑名单绕过
尝试设置后缀如 php3,php5, 无果
3.%00 截断
尝试,无果。
4. 应用程序解析绕过
.php.jpg。上传成功!
发现怎么后缀是 jpg,然后通过路径访问的话报 404,这里我就开始奇怪了,难道真的不是文件上传,毕竟就算上传成功也需要爆出路径才能利用,但是这明显是假路径。
思考其他的方向,既然 buu 给了 github 源码,那就看看源码吧,看了看,主要逻辑代码在 helper.php
*1*|***2***...
more...
