- 博客(36)
- 收藏
- 关注
RSS订阅原创 ctfshow_web14------(PHP+switch case 穿透+SQL注入+文件读取)
过滤的关键词有information_schema.tables,information_schema.columns,linestring,空格,polygon。Wappalyzer 识别到 Nginx,网站默认根目录:/var/www/html/。解释:$c = intval($_GET['c']);进入here_1s_your_f1ag.php是一个查询页面,sql注入。要权限,用user()看一下权限是root可以用load_file()读。mysql提供了读取本地文件的函数load_file()
2025-09-11 23:21:03
273
原创 ctfshow_web13-----------文件上传.user.ini
猜测flag就在903c00105c0141fd37ff47697e916e53616e33a72fb3774ab213b3e2a732f56f.php文件下了。经尝试,改后缀php5,ptml均不行,使用.htaccess文件也不成功。正则过滤了php,文件大小<24,文件名小于9。扫描后发现存在upload.php.bak。又是菜鸡的一天,周五没有课,爽爽爽!上传.user.ini,在文件中写上。然后用蚁剑连接,发现可以连接不能操作。打开题目发现是一个文件上传题。,所有文件都可以包含它。
2025-09-11 21:23:01
264
原创 ctfshow_萌新web16-web20-----文件包含日志注入
发现日志中有user-agent信息,因此我们可以在user-agent中写入木马。禁用了php关键字,这个题禁了远程文件包含,进行日志注入。打开36d.php文件拿到flag。抓包burpsuit。依旧Nginx服务器。
2025-08-26 23:07:45
377
原创 ctfshow_vip题目限免10
尝试随便输入用户名和密码,会先显示用户名错误,测试到用户名为 admin ,但是不知道密码。在 phpinfo 界面 ctrl + F 搜索 flag 关键字,得到 flag。在页面底部,鼠标在其它位置都不能点击,在 document 上可以点击进入另一个页面。根据题目提示,底部有一个邮箱是 QQ 邮箱,用 QQ 搜索一下,得到地点在西安。根据题目提示找探针,访问 url/tz.php ,进入到一个探针界面。再次进入到忘记密码的界面,填写密保问题为西安,页面回显重置的密码。
2025-08-24 15:43:41
1085
原创 Linux 系统中的/etc/passwd文件片段
是系统重要文件,普通用户可读,管理员可修改,用于管理用户登录权限和基本属性。该文件用于存储系统用户的基本信息,每行代表一个用户,各字段用冒号(这是一段/etc/passwd文件片段。)分隔,共 7 个字段。
2025-08-14 00:44:46
450
原创 ctfshow_萌新web9-web15-----rce
反引号``, 可以执行系统命令, 并返回一个字符串类型的变量, 用来保存命令的执行结果, 需要注意的是, 反引号``中的命令会先被执行并将结果以字符串类型的变量返回, 而后再参与到其他代码的执行, 类似一个函数。但是双引号中插入单引号,如果变量存在的话,还是可以执行的;其中的内容不会经过解释(\n不会输出为换行,而是直接输出),即内容会与输入的内容一致,的过滤, 我们可以使用?双引号中的内容将会被解释,即解析内容中的变量。
2025-08-08 22:24:59
610
原创 ctfshow_萌新计划web1-8
SQL会同时查询2 和 1000 这两个id的信息, 刚才我们试过, id为2时, 没有信息, 那这条SQL查询的结果就只有 id = 1000 的信息, 从而返回flag。过滤了or、减号、除号、乘号、左移、右移、感叹号、x、hex、加号、括号、select、\|/、单双引号、竖线,几乎都过滤完了。过滤了or、减号、除号、乘号、左移、右移、感叹号、x、hex、加号、括号、select、\\。过滤了or、减号、除号、乘号、左移、右移、感叹号、x、hex、加号。
2025-08-08 16:34:35
837
原创 ctfshow_misc刷题misc25-misc30
头部:六个字节,47 49 46 38 39 61 前三位是标志,后三位是版本 一般情况下紧跟着的就是它的宽度与高度,而且高度一般是00 96.word_Y image为图片高改为0196。gif的每一帧都有宽高所以修改的地方不止一处。点analyse里frame browser。生命不需要华丽的辞藻,各有各的样子就好。png记住这两个位置坐标宽右边高。在图片下面猜测依旧是高度存在隐写。bmp将8403改为B603。用stegsolve打开。上面两题都是png图片。将9600改为FF00。
2025-08-05 07:00:00
383
原创 ctfshow_misc53-----RGB-----lsb隐写
随波逐流一把梭直接得到steslove,将红绿蓝调为0即可我还是想弄清楚其中原理LSB(Least Significant Bit,最低有效位)隐写是一种常见的图像隐写术,原理是通过修改图像像素的最低位来隐藏信息,而人眼通常无法察觉这种细微变化。
2025-08-05 06:00:00
517
原创 ctfshow_内部赛签退-----eval()
/ 如果存在 $_GET['S'],则执行 eval("$$S");否则高亮显示当前文件代码 ($S = $_GET['S'])?查看tmp下有什么文件,看到flag.txt。再次cat /var/flag.txt或者cat ../../flag.txt。这段代码本质上是一个 **"一句话后门"**,存在极高的安全风险。直接cat /tmp/flag.txt。
2025-08-04 12:23:57
503
原创 ctfshow_红包题第二弹------glob通配符
f12有提示发送get包?cmd=ls,出现代码这里有两个正则表达式,理解一下preg_match("/[A-Za-oq-z0-9$]+/",$cmd) 检查$cmd中是否包含至少一个 "大写字母、除 p 外的小写字母、数字或美元符号"。|\@|\#|\%|\^|\&|\*|\(|\)|\(|\)|\-|\_|\{|\}|\[|\]|\'|\"|\:|\,/",$cmd) 使用分隔多个需要匹配的字符,相当于 "或" 的关系。在正则表达式中,某些字符(如。
2025-08-04 06:00:00
993
原创 ctfshow_源码压缩包泄露
解压下来一个.txt文件,一个index.php。发现是访问/fl000g.txt。那么就去看index.php。还有很多源码泄露需要去了解。也没有东西,于是查看wp。直接dirsearch。
2025-08-02 14:42:07
392
原创 ctfshow_web2-----sql注入多表联合查询
先学一下sql基本语句这里要用到select,union,information_schema,limit这一题是单引号闭合,字符型注入。
2025-08-02 14:15:56
1482
原创 ctfshow_misc31------base64转图片 花朵解密 steghide
看到其中有关键字Photoshop,知道这是一个base64格式的图片。隐写使用工具steghide,密码是xiaomotuo。我是用再kali里的,windows也可以用。拿到flag{du_du_du_du}打开file文件发现最后是==,还有/然后解开xiaomotuo.wav文件。发现pdf文件大很多,可能存在隐写。花朵解密得到qwertyuiop。判断为base64,进行解码。解压文件,有两个文件加密。现在解开最后一个加密文件。现在已经知道的条件有。综上猜测是关键字加密。
2025-07-31 06:00:00
346
原创 ctfshow_stega11-----png
解开得到flag{6f1797d4080b29b64da5897780463e30}FFD9表示文件尾,虽然看了文件头和尾没有发现东西。但他中间啊有一个FFD9,后面有一串字符。真心挺难找到的有时候真的想不到。这是base32编码。
2025-07-30 06:00:00
113
原创 ctfshow_stega10-----CRC爆破
发现是倒的png,这就知道是将图片结构按倒序排列,我们将他复原。放进010,其实看了好久不知道怎么写,找到这一串字符。适用于压缩包中文件比较小,比如只有几字节的时候。根据提示网址lanzous修改为lanzoux。将得到的16进制粘贴为hex形式,另存为png。打开下载得到flag.zip压缩包。开头不是png有问题,拉到尾部。注意到每一个文档都是1字节。先简单了解一下CRC爆破。使用CRC脚本进行爆破。复原的python脚本。解开二维码拿到flag。最后一列是CRC32。
2025-07-29 21:26:41
494
原创 ctfshow_misc4---------zip
能够自动创建基于 tornado + mako/jinja2 + peewee/sqlalchemy 的项目。路径 rar (1)\办公文档\Documents\1\Pages 下,找到1.fpage。FPage 是一个传统的(即前后端分离之前)tornado项目生成器(CLI)。修改为正确的flag{xps?504b0304 PK开头是zip压缩包。得到flag{}{xps?将UnicodeString后面的进行拼接。将rar文件改为rar后缀。发现有个脚本大家可以试试。
2025-07-29 12:37:51
246
原创 ctfshow_萌新赛------------图片隐写
文件为png,将其改为.png打开为二维码。# 去除StegSolve导出的bmp白边。# 裁剪图片,识别二维码信息。放入stegsolve。
2025-07-28 18:44:47
617
原创 ctfshow_1024_WEB签到-----call_user_func
首先得想到传phpinfo,虽然不知道为什么可能和call_user_func函数有关了解一下。
2025-07-26 19:27:17
369
原创 ctfshow_图片篇文件结构misc24---------宽高隐写
总字节675056,减去头文件54字节,就按675000算,除以三个像素点,再除以宽度900,高度应当为675000/3/900=250。0x16-0x19:4个字节,图像高度,以像素为单位。根据提示flag在图片上方,明白为宽高隐写。别为失败做打算,那比庸常的打算还愚蠢。提到24号,即刻就想到科比老大-_-250十六进制为FA。
2025-07-26 19:04:43
495
原创 ctfshow_web6-------sql
用order by 判断几个字段,order by 3登录成功。输入1'or(true)# 登录成功。发现空格被过滤可以用/**/或()绕过。登录页面直接输入万能公式。看看在那个位置有回显。
2025-07-26 10:23:58
557
原创 ctfshow_web12-------rce
f12发现hint:cmd?有回显,应该是rce?查看源码glob() 函数返回匹配指定模式的文件名或目录。例如:glob("*") 匹配任意文件glob("*.txt")匹配以txt为后缀的文件首先介绍一下打印函数。
2025-07-25 16:22:21
1058
原创 ctfshow_web9--------md5加密漏洞
ffifdyop 的MD5加密结果是 276f722736c95d99e921722cf9ed621c。经过MySQL编码后会变成'or'6xxx,使SQL恒成立,相当于万能密码,所以密码直接输入ffifdyop。可以绕过md5()函数的加密。
2025-07-25 11:00:28
613
原创 ctfshow_web4-------日志注入
用data伪协议不好写,应该是被过滤掉了根据提示进行日志注入,使用Wappalyzer查看一下,使用的中间件是Ngnix日志包含漏洞的成因还是服务器没有进行严格的过滤 ,导致用户可以进行任意文件读取,但是前提是服务器需要开启了记录日志的功能才可以利用这个漏洞。对于Apache,日志存放路径:/var/log/apache/access.log对于Ngnix,日志存放路径:/var/log/nginx/access.log 和 /var/log/nginx/error.log。
2025-07-24 14:42:40
918
原创 攻防世界supersqli-------堆叠注入
堆叠注入触发的条件很苛刻,因为堆叠注入原理就是通过结束符同时执行多条sql语句,这就需要服务器在访问数据端时使用的是可同时执行多条sql语句的方法,例如php中的mysqli_multi_query函数。但与之相对应的mysqli_query()函数一次只能执行一条sql语句,所以要想目标存在堆叠注入,在目标主机没有对堆叠注入进行黑名单过滤的情况下必须存在类似于mysqli_multi_query()这样的函数,简单总结下来就是。注入1' union select 1,2#输入1' and '1'='1。
2025-07-21 20:41:02
719
原创 攻防世界unserialize3------反序列化
_wakeup()是用在反序列化操作中。unserialize()会检查存在一个__wakeup()方法。如果存在,则先会调用__wakeup()方法。__wakeup()漏洞就是与整个属性个数值有关。当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。s:3:"111";
2025-07-19 10:21:34
313
原创 攻防世界PHP2----phps文件
所以将admin进行url编码,但传入值时还会经过url解码,所以要进行二次url编码。打开phps文件可以查看到代码。
2025-07-19 10:11:37
234
原创 攻防世界xff_referer----请求头
X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的。ip为123.123.123.123及为请求端真实ip。
2025-07-19 09:26:32
251
原创 攻防世界xctf-babyweb(SSRF漏洞)
我也不太了解看wp知道ssrf有ssrf.php。直接输入file:///flag 读取。ssrf应该也可以使用。
2025-07-18 15:47:01
323
原创 攻防世界----i-got-id-200
首先打开Hello World 发现使用perl语言建站。打开Files发现是文件上传,进入本题主题。打开Froms准备SQL注入发现没有。
2025-07-18 14:05:00
321
原创 攻防世界----题目名称-SSRF 题解
然后我有一个小问题是flag直接放进去进行url解码并不成功,显示"flag" 由纯字母组成,符合无需编码的规则,因此编码后仍为。使用 file 协议读取系统文件。此题了解ssrf漏洞。
2025-07-18 11:10:32
186
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人