3.6k words 3 mins.

# [RoarCTF2019]OnlineProxy 这里发现通过修改 X-FORWARDED-FOR 的值注释部分的内容也随之改变 尝试盲注,上传命令时第一次为 Current Ip 发现并不能执行,再次上传 Current Ip 时上次的 Current Ip 变为 Last Ip 也没有执行,再次 send 即可正常执行命令 简单尝试使用盲注得到所有库名,这里可以看到该方法是没问题的 爆破库名: 0' or...
5.3k words 5 mins.

# [EIS 2019]EzPOP # <?phperror_reporting(0);class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store = $store; $this->expire = $expire; }...
2k words 2 mins.

# [CISCN2019 华东南赛区] Web4 打开有一个链接,那先点击一下 发现 url 处,很像命令执行,试一试。发现无论是什么都是 no response,又是各种尝试 发现直接传?url=/etc/passwwd 可以爆出回显,难道不是命令执行,是代码执行 先尝试一下目录穿越,发现 flag 被禁了 又是一波各种尝试,最后发现 app/appp.py 处可以获得源码。 这里记一点:url/read?id=xxxx 这种在 url 和参数中间又会有一段字符串的,可以考虑是写了路由,不是 php 后端,可能是 python...
3.9k words 4 mins.

# [GXYCTF2019]BabysqliV3.0 文件包含获取源码: home.php <?php session_start(); echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" />...
5.9k words 5 mins.

# bestphp's revenge # index.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION); $a =...
923 words 1 mins.

# [RootersCTF2019]babyWeb 分析 页面中告诉我们要找一串数字输进去,且过滤了一些关键词。 UNION 被过滤了说明堆叠注入没法用了,并且他还把 sql 语句给我们了,那大概率是报错注入了,试下看看。 SELECT * FROM users WHERE uniqueid=1 果然是报错注入,这边的 || 功能和 and 一样,用 and 也一样。 果然是报错注入,这边的 || 功能和 and 一样,用 and 也一样。 接下来就慢慢构造呗,这边有一个小的知识点,题目虽然过滤了引号,但我们可以用 16...
728 words 1 mins.

# [SUCTF2018]annonymous 这题代码很少,就这几行 首先创建了一个匿名函数,会输出 flag 接着 openssl_random_pseudo_bytes (32) 生成一个随机数,然后将其转成了十六进制,将其赋值给 $hash 接着 SUCTF_和 hash 拼接成一个新的函数名,函数会执行上面构造的匿名函数 所以,要想获得 flag 就只有两种办法,直接执行匿名函数,或者执行 SUCTF_和 hash 拼接成的新函数 下面的 func_name 可以传一个函数名进去并执行该函数 这题最初想着直接传 $MY...
4.9k words 4 mins.

传传传,各种传 *1*|***1*** 文件上传 1.MIME 类型检测绕过 设置为 image/jpeg,无果 2. 黑名单绕过 尝试设置后缀如 php3,php5, 无果 3.%00 截断 尝试,无果。 4. 应用程序解析绕过 .php.jpg。上传成功! 发现怎么后缀是 jpg,然后通过路径访问的话报 404,这里我就开始奇怪了,难道真的不是文件上传,毕竟就算上传成功也需要爆出路径才能利用,但是这明显是假路径。 思考其他的方向,既然 buu 给了 github 源码,那就看看源码吧,看了看,主要逻辑代码在 helper.php *1*|***2***...
2.9k words 3 mins.

打开网页,是一个登录界面 注册完后,登录,便是一个上传点 一系列的绕过操作试了一遍后,发现都不行,只能上传包含恶意语句的图片 打开 BP 抓包后发现,参数 user 是一串 base64 编码的字符串 一系列解码后得到序列化内容 拎去反序列化,得到一个文件名,猜测上传文件后,将文件名重命名了一遍 这个时候,利用目录爆破工具会在网站中找到一个 www.tar.gz 这个文件,因为这个 docker 环境没有,所以这里没图。下载下来后,审计中找到了 __destruct() 魔法函数 同时,在 Index.php 中,找到了身份验证的方法 Index.php 会对传入的内容进行...
2.2k words 2 mins.

# [SUCTF2018] MultiSQL-MySQL 预处理学习 [SUCTF 2018] MultiSQL-MySQL 预处理学习 进入题目后,注册账户登录 编辑头像可以上传文件,但是上传了 php 文件还是会变成 jpg 格式 再看用户信息这里,id=2 那里可以随意更改,存在越权,1 就是 admin 这里接下来要用到 MySQL 的预处理,参考文章 set MariaDB [(none)]> set @a='select version()'; Query OK, 0 rows affected (0.00 sec) MariaDB...