网安

# [BSidesCF2019]Sequel 爆破密码都是 guest 获得启示：Maybe the admin likes it too? 看到有 session 可以试试 jwt，但是就是最简单的 base64 base64 解码 然后就不知道为什么就跳到了 sqlite 上面了 按 wp： import requestsimport base64import stringimport timeurl = "http://0eaa6072-56ef-4b36-9ba7-a0e1d673c493.node4.buuoj.cn:81/sequels"flag =...

# [NewStarCTF 公开赛赛道] BabySSTI_Two # 0x01 测试黑名单 SSTI / 沙盒逃逸详细总结 - 安全客 - 安全资讯平台 (anquanke.com) 细说 Jinja2 之 SSTI&bypass - FreeBuf 网络安全行业门户 ?name={{1+1}} # + 过滤 /?name={{"hj"}} # ""...

# [NewStarCTF 公开赛赛道] UnserializeOne <?phperror_reporting(0);highlight_file(__FILE__);#Something useful for you : https://zhuanlan.zhihu.com/p/377676274class Start{ public $name; protected $func; public function __destruct() { echo "Welcome to NewStarCTF,...

NewStarCTF2023 新生赛_BabySSTI_Three 之前用的是字符串逆序绕过，这里过滤了:，然后用十六进制绕过即可 def hex_payload(payload): res_payload = '' for i in payload: i = "\\x" + hex(ord(i))[2:] res_payload += i print('[+]"{}" Convert to hex:...

[NewStarCTF2023 公开赛道] EasyLogin 登录页面，可以用爆破来进行密码爆破 获取这两个发现密码使用 md5 加密后的数据 所以爆破时需要进行 md5 加密后再进行爆破密码 登录成功 解码为 000000 密码 用以登录 以 admin 的身份进入页面但是跟直接注册登录一样的 找历史记录找到奇怪的东西直接发包就行了 参考：https://blog.csdn.net/qq_60905276/article/details/136943400

# 国城杯复现 # signal 提示：cgi 显示一个登录框，还是信息搜集 用 dirsearch 搜索到 index.php.swp: 获取这个拿到信息： guest:MyF3iend 登录： 可以目录穿越读 flag，但是是假的 开始尝试包含文件，发现包含 admin.php 文件会直接跳转回 index.php 页面，说明 php 代码是被解析了 的，所以可以知道后端就是 Include 函数来包含的，因为这里解析了 php 代码，所以现在就是看如何进行 文件包含，并且是需要将其编码输出才能成功文件包含读取代码。 其实这里是有几个非预期的，比如 fileter...

# [De1CTF 2019]Giftbox main.js 里给了 TOTP 的参数 # TOTP TOTP 算法 (Time-based One-time Password algorithm) 是一种从共享密钥和当前时间计算一次性密码的算法。它已被采纳为 Internet 工程任务组标准 RFC 6238，是 Initiative for Open Authentication (OATH) 的基石，并被用于许多双因素身份验证系统。 TOTP 是基于散列的消息认证码（HMAC）的示例。它使用加密哈希函数将密钥与当前时间戳组合在一起以生成一次性密码。...

# [b01lers2020]Space Noodles <u></u> 五条提示； HTTP 请求方式 HTTP 请求方式 序号 方法 描述 1 GET 请求指定的页面信息，并返回实体主体。 2 HEAD 类似于 GET 请求，只不过返回的响应中没有具体的内容，用于获取报头 3 POST 向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被包含在请求体中。POST 请求可能会导致新的资源的建立和 /...

# ctfshow_web_java # 判断网站是否基于 Struts2 的方法链接 通过页面回显的错误消息来判断，页面不回显错误消息时则无效 通过网页后缀来判断，如.do .action，有可能不准 如果配置文件中常数extension的值以逗号结尾或者有空值，指明了action可以不带后缀，那么不带后缀的uri也可能是struts2框架搭建的 如果使用Struts2的rest插件，其默认的struts-plugin.xml指定的请求后缀为xhtml,xml和json 判断 /struts/webconsole.html 是否存在来进行判断，需要 devMode 为...

# [MRCTF2020]Ezpop_Revenge 反序列化 pop 链： HelloWorld_DB::wakeup–>Typecho_Db::__construct(tostring)–>Typecho_Db_Query::__construct–>(this->_adapter=new Soapclient)–>SSRF payload： <?phpclass Typecho_Db_Query{ private $_sqlPreBuild; private $_adapter;...