[WMCTF2020]Make PHP Great Again
# [WMCTF2020]Make PHP Great Again
前言:
关键字:[require_once|proc | 文件包含 | session|session.upload_progress]
<?phphighlight_file(__FILE__);require_once 'flag.php';if(isset($_GET['file'])) { require_once $_GET['file'];}# 题解
绕过不能重复包含文件的限制
# 解法 1
PHP 最新版的小...
more...
[b01lers2020]lifeMars
进来是这样的场景:用 f12 进入网络发现有些一样的传参:
发现有个 search 的传参:(结合源码(ctrl+u)发现有个 life on mars 这个文件)
life on mars.js
function get_life(query) {
$.ajax({
type: "GET",
url: "/query?search=" + query,
data: "{}",
contentType:...
more...
[suctf2018]GetShell
# [suctf2018]GetShell
参考 p 神利用取反来获取可用字符:
<?php
error_reporting(0);
$a = ~垂;
echo $a."\n";
echo $a[1];
/*
运行得:
a}
a
*/
?>
🐎一下汉字:
echo ~茉**[**$____**]**;//s
echo ~内**[**$____**]**;//y
echo ~茉**[**$____**]**;//s
echo ~苏**[**$____**]**;//t
echo...
more...
[HFCTF2020]JustEscape
# [HFCTF2020]JustEscape
题目说真的不是 PHP 吗?
十有八九不是,猜测可能是 Java,结果是 js。
# 用 Error().stack , 看一下报错信息。
报错显示是 vm.js ,考的 vm 沙箱逃逸。
POC 参考:
https://github.com/patriksimek/vm2/issues/225
payload1:
(function...
more...
[GXYCTF2019]StrongestMind
# [GXYCTF2019]StrongestMind
搞了个计算机,要算 1000 次正确就给 flag
直接上脚本:
import requests
import re
import time
url = 'http://6f50dc2f-2732-4820-9115-f988593362dd.node5.buuoj.cn:81/'
session = requests.session()
req = session.get(url).text
flag = ""
for i in range(1010):
try:
result =...
more...
GKCTF 2021:easycms
# [GKCTF 2021]easycms
dirsearch 扫目录发现 admin.php 进入后台登录页面
猜 admin 的 12345
因为首页的提示显示密码是五位数
这种 CMS,第一时间想到主题。
试了下主题可以导出,主题这里想导入需要创建这个文件
所以要创建一个文件
/var/www/html/system/tmp/qgak.txt
在设计 - 组件 -...
more...
[BJDCTF2020]ezPHP
# [BJDCTF2020]ezPHP
ctrl+u 获得提示源码地址:
GFXEIM3YFZYGQ4A=
base32解码后:
1nD3x.php
进入获得源码:
<?phphighlight_file(__FILE__);error_reporting(0); $file = "1nD3x.php";$shana = $_GET['shana'];$passwd = $_GET['passwd'];$arg = '';$code = '';echo "<br...
more...
[GYCTF2020]EasyThinking
# [GYCTF2020]EasyThinking
先是源码泄露 www,zip
#
登录后,少写一个字,发现是 thinkphp(题目的名字也提醒了是这个考点)
在 web/home/controller 有一个 Member.php,得到网页源码:
<?php
namespace app\home\controller;
use think\exception\ValidateException;
use think\facade\Db;
use think\facade\View;
use app\common\model\User;
use...
more...
October 2019 Twice SQL Injection
# October 2019 Twice SQL Injection
二次注入(个人理解二次注入不是立马生效,而是在另一个界面时被调用,SQL 语句在那个界面被调用生效)
进行注册;
(ps:跟我做的登陆页面好像)
注入点就在这里 username,没有任何过滤,但是很难想到,因为进去后有一个修改信息的东西过滤了‘和 “,我直接在那里面搞好久,发现不能用宽字节绕过,(然后就不知道怎么办 了)所以就看了 wp,发现就是这里有注入点。
username =1' union select group_concat(column_name) from...
more...
