# [红明谷 CTF 2021] EasyTP 随便输入网址得到是 tp3.2.3 的模板题 直接搜索其漏洞 https://f5.pm/go-53579.html(这个是从最开始分析的,还是很清晰的) # 解法一:报错注入 <?phpnamespace Think\Db\Driver{ use PDO; class Mysql{ protected $options = array( PDO::MYSQL_ATTR_LOCAL_INFILE => true // 开启才能读取文件 ); protected $config =...

# [HMGCTF2022]Smarty Calculator 进入页面,随便输入一个字符,发现还未登录,没有提示就是文件泄露 www.zip,发现文件,泄露查看源码: if(isset($_POST['data'])){ if(isset($_COOKIE['login'])) { $data = waf($_POST['data']); echo "<div...

# ISCTF2024 复现 # 25 时晓山瑞希生日会 htt 头伪造: 伪造日期: 搜索得知 25 时生日会 是在八月二十七举办,伪造日期即可得到 flag Date: Tue, 27 Aug 2024 12:41:59 GMT# 小蓝鲨的冒险 <?php error_reporting(0);highlight_file(__FILE__);$a = "isctf2024";$b = $_GET["b"];@parse_str($b);echo...

# [网鼎杯 2020 半决赛] BabyJS nodejs 题: 经典进去就是黑屏加 {}(牢 json 数据了) 有源码(关键的就是这个地方): var express = require('express');var config = require('../config');var url=require('url');var child_process=require('child_process');var fs=require('fs');var...

# [极客大挑战 2020] Roamphp4-Rceme 进入页面: 有了这个就是 /.index.php.swp 用 vim 获取源码: <?phperror_reporting(0);session_start();if(!isset($_SESSION['code'])){ $_SESSION['code'] = substr(md5(mt_rand().sha1(mt_rand)),0,5);}if(isset($_POST['cmd']) and...

# [BSidesCF 2020]Cards 发现大量字符,用{}包括的是json数据“”:“” 我们在每次请求都会有一个 SecretState 参数,用来保存游戏状态,并且在客户端和服务端同步。这个参数没法篡改。每次请求,服务端都会生成一个新的 SecretState,但是旧的 SecretState 并不失效,问题就出在于此。 游戏如果赢了,就更新 SecretState,如果输了,则不更新 SecretState。这样就可以达到类似一种分数只增不减的效果。 但是有个问题,下注之后要开牌的话,必须得用新的...

# [BSidesCF-2019]Mixer 主页,有一些提示 It looks like you aren't admin, though! Better work on that! Remember, is_admin must bet set to 1 (integer)! And you can safely ignore the rack.session cookie. Like actually. But that other cookie, however.... 这就说明可能不是 session 加密解密了,得用密码学的东西来解释一下了 登录抓包后发现有了一个...

# [FBCTF2019]Products-Manager 考点: 基于约束的 SQL 攻击 数据库字符串比较 INSERT 截断 给了源码,分析一下的话,footer.php 没有东西,index.php 也差不多 但是 db.php 里面的: /* CREATE TABLE products ( name char(64), secret char(64), description varchar(250) ); INSERT INTO products VALUES('facebook', sha256(....),...

# [HCTF2018]Hideandseek 登陆进去是一个文件上传的页面,但是是上传 zip 文件,上传文件之后好像会解析内容,进行文件读取,可以想一下 zip 软链接,用 /etc/passwd 试一下 ln -s /etc/passwd 321 zip -y 111.zip 321 上传生成的 zip 文件得到回显 进行部分修改后: import osimport requestsimport sysdef make_zip(): os.system('ln -s ' + sys.argv[2] + ' test_exp')...