862 words 1 mins.

# [WMCTF2020]MakePHPGreatAgain2.0 <?phphighlight_file(__FILE__);require_once 'flag.php';if(isset($_GET['file'])) { require_once $_GET['file'];}这里有个 require_once () 函数需要了解一下,如果 require_once 包含过一次 flag.php 再次出现则不会执行 发现 require...
3.2k words 3 mins.

# [SWPU2019]Web4 考点:PDO 场景下的堆叠注入、时间盲注 打开题目叫你登录,不过任凭你怎么登录都会没有反应,注册说 “未开放注册功能” 回头一抓包,发现我们向 /index.php?r=Login/Login 发送了一个数据包,这里可以注入,POST...
2.3k words 2 mins.

# [pasecactf_2019]flask_ssti 开局就是一个框,根据标题 ssti 直接 {{2*2}} 直接确定是 ssti 有很多限制(单引号 ' 被过滤可以用双引号 " 代替;至于点。和下划线_被过滤可以采用 16 进制来表示,用的方式选定) #...
1.8k words 2 mins.

# [GWCTF 2019]mypassword 注册登录 这里加载了一个 js 文件 60d487b4-04d2-4e33-9aad-fbe0264c5ac6.node3.buuoj.cn/js/login.js if (document.cookie && document.cookie != '') { var cookies = document.cookie.split('; '); var cookie = {}; for (var i = 0; i...
4.2k words 4 mins.

# [RoarCTF2019]OnlineProxy 这里发现通过修改 X-FORWARDED-FOR 的值注释部分的内容也随之改变 尝试盲注,上传命令时第一次为 Current Ip 发现并不能执行,再次上传 Current Ip 时上次的 Current Ip 变为 Last Ip 也没有执行,再次 send 即可正常执行命令 简单尝试使用盲注得到所有库名,这里可以看到该方法是没问题的 爆破库名: 0' or...
5.3k words 5 mins.

# [EIS 2019]EzPOP # <?phperror_reporting(0);class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store = $store; $this->expire = $expire; }...
2k words 2 mins.

# [CISCN2019 华东南赛区] Web4 打开有一个链接,那先点击一下 发现 url 处,很像命令执行,试一试。发现无论是什么都是 no response,又是各种尝试 发现直接传?url=/etc/passwwd 可以爆出回显,难道不是命令执行,是代码执行 先尝试一下目录穿越,发现 flag 被禁了 又是一波各种尝试,最后发现 app/appp.py 处可以获得源码。 这里记一点:url/read?id=xxxx 这种在 url 和参数中间又会有一段字符串的,可以考虑是写了路由,不是 php 后端,可能是 python...
3.9k words 4 mins.

# [GXYCTF2019]BabysqliV3.0 文件包含获取源码: home.php <?php session_start(); echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" />...
5.9k words 5 mins.

# bestphp's revenge # index.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION); $a =...
923 words 1 mins.

# [RootersCTF2019]babyWeb 分析 页面中告诉我们要找一串数字输进去,且过滤了一些关键词。 UNION 被过滤了说明堆叠注入没法用了,并且他还把 sql 语句给我们了,那大概率是报错注入了,试下看看。 SELECT * FROM users WHERE uniqueid=1 果然是报错注入,这边的 || 功能和 and 一样,用 and 也一样。 果然是报错注入,这边的 || 功能和 and 一样,用 and 也一样。 接下来就慢慢构造呗,这边有一个小的知识点,题目虽然过滤了引号,但我们可以用 16...