解题思路 打开是一个蛮有意思的背景,众生皆懒狗,是自己没错了.源代码看一看,啥都没有.抓个包 诶,一看到func和p两个参数,想到了call_user_func(). 尝试着把date改成system看有没用,显示hacker,证明有waf了 随便输入个参数,让他报错.看看有没有爆出什么函数. 果然是回调函数,那么大概思路感觉就是代码执行了,试了些函数,发现都被过滤了,这里思考可不可以读源码 func=readfile&p=index.php 没被禁掉,读出源码 代码审计 <?php $di…

一道比较简单的题,不过对PHP还是不够熟悉 知识点 1.PHP date函数 PHP date() 函数用于对日期或时间进行格式化. 语法 date(format,timestamp) 参数 描述 format 必需.规定时间戳的格式. timestamp 可选.规定时间戳.默认是当前时间和日期. date() 函数的格式参数是必需的,它们规定如何格式化日期或时间. 下面列出了一些常用于日期的字符: d - 表示月里的某天(01-31) m - 表示月(01-12) Y - 表示年(四位数) 1…

nmap nmap语法,很简单. 127.0.0.1' -iL /flag -oN vege.txt ' phpweb 打开,抓包,发现可以传递函数和其参数 试了一下很多函数都被过滤了,不能执行系统命令. 但是可以用file_get_contents函数读取源代码 进行审计发现,unserialize函数没有过滤,并且p参数没有代用disable_fun方法对输入值进行过滤. 利用: ls -a 发现并没有flag文件,但是命令执行成功了,这样就好办了. 经过一番寻找发现flag在tmp目录下:…

1.打开界面之后界面一直在刷新,检查源代码也未发现提示信息,但是在检查中发现了两个隐藏的属性:func和p,抓包进行查看一下,结果如下: 2.对两个参数与返回值进行分析,我们使用dat时一般是这种格式:date("Y-m-d+h:i:s+a"),那我们可以猜测func参数接受的是一个函数,p参数接受的是函数执行的内容,我们可以输入参数md5和1进行测试,结果如下: 3.那我们就尝试读取下当前的目录信息,payload:func=system&p=ls,显示hacking,应该是…

本文首发于Leon的Blog,如需转载请注明原创地址并联系作者 AreUSerialz 开题即送源码: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = &qu…

题目分析 <?php include("flag.php"); highlight_file(FILE); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hello World…

picdown 抓包发现存在文件包含漏洞: 在main.py下面暴露的flask的源代码 from flask import Flask, Response, render_template, request import os import urllib app = Flask(__name__) SECRET_FILE = "/tmp/secret.txt" f = open(SECRET_FILE, 'r') SECRET_KEY = f.read().strip() os.re…

AreUSerialz 打开题目直接给出了源代码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $con…

BUUCTF-[网鼎杯 2020 青龙组]AreUSerialz 看题 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile&…

0x00 前言 ...有一说一,赵总的BUUCTF上的这道题目并没有复现到精髓.其实感觉出题人的题目本身没有那么简单的,只不过非预期实在是太简单惹. 涉及知识点: 1.php中protected变量反序列化的小Trick 2.获取任意文件读取权限后的文件绝对路径的查找 <!--more--> 0x01 源码 直接进入题目就可以看到源码了. <?php​include("flag.php");​highlight_file(__FILE__);​class FileHa…

2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup 2020年网鼎杯白虎组赛题.zip下载 https://download.csdn.net/download/jameswhite2417/12421267 0x00 签到操作内容: 完成游戏,通过第7关,让提交队伍token值 提交后获得flag 通过qq截图,文字识别 FLAG值: flag{f6e5************************3112} 0x01 hidden操作内容: 图片隐写Binwalk图片,…

2020 网鼎杯WP 又是划水的一天,就只做出来4题,欸,还是太菜,这里就记录一下做出的几题的解题记录 AreUSerialz 知识点:反序列化 打开链接直接给出源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op…

CTF-i春秋网鼎杯第四场部分writeup 因为我们组的比赛是在第四场,所以前两次都是群里扔过来几道题然后做,也不知道什么原因第三场的题目没人发,所以就没做,昨天打了第四场,简直是被虐着打. shenyue 下载题目,打开发现是脚本代码,代码如下 import sys from hashlib import sha256 current_account = "" secret = '******************************' def authenticate(cr…

CTF-i春秋网鼎杯第二场misc部分writeup 套娃 下载下来是六张图片 直接看并没有什么信息 一个一个查看属性 没有找到有用信息 到winhexv里看一下 都是标准的png图片,而且没有flag写入Hex数据 继续扔到kali里用binwalk分析一下 图片未嵌入其他文件 直接在kali双击打开png图片,发现可以正常打开(注:被修改过高度的图片无法在kali中直接打开,会显示无法载入图像) 那继续分析IDAT块,IDAT是png图片中储存图像像数数据的块,不清楚的可以去补充一下关于pn…

CTF-i春秋网鼎杯第一场misc部分writeup 最近因为工作原因报名了网鼎杯,被虐了几天后方知自己还是太年轻!分享一下自己的解题经验吧 minified 题目: 一张花屏,png的图片,老方法,先看属性 什么也没. 再扔到winhexv里看看 头文件正常,确实是png,尝试搜索flag关键字也没有收获. 继续扔到kali里用binwalk分析一下 也没有发现异常的 会不会是高度隐写呢,直接在kali双击打开png图片,发现可以正常打开(注:被修改过高度的图片无法在kali中直接打开,会显示…

目录 刷题记录:[网鼎杯]Fakebook 一.涉及知识点 1.敏感文件泄露 2.sql注入 二.解题方法 刷题记录:[网鼎杯]Fakebook 题目复现链接:https://buuoj.cn/challenges 参考链接:解网鼎杯一道web题(fakebook) 一.涉及知识点 1.敏感文件泄露 访问robots.txt可以得到源码的备份地址 2.sql注入 常规注入,不说了 二.解题方法 这道题比较简单,我靠非预期解做出来了,题目没过滤load_file,可以直接从get注入点盲注出来,贴…

[网鼎杯 2018]Comment 又遇到了一道有意思的题目,还是比较综合的,考的跟之前有一道很相像,用的还是二次注入. 因为找不到登陆点的sql注入,所以扫了一下源码,发现是存在git泄露的. [21:03:10] Starting: [21:03:10] 301 - 388B - /.git -> http://72f9009e-83ae-410a-8849-6cf1c2f44fe2.node3.buuoj.cn/.git/ [21:03:10] 200 - 23B - /.git/HEAD…

主函数,当bossexist的值不为0时,while循环dround()函数,循环结束输出flag outflag()函数的flag值由6段数据拼凑而成 while循环的dround()函数有三个选择,1随机获取coin硬币,2打龙,3商店由硬币兑换攻击值 1.随机获取硬币函数:真的很随机,而且一次只有一两个 2.打龙函数:攻击值(eff)大于1000000打死第一条龙,大于3000000打死第二条龙,大于5000000打死第三条龙,并且出flag.每打死一条龙都会自动解密一段flag 3.商店…

查看JS,在JS中找到p14.php,直接copy下来console执行,输入战队的token就可以了 js_on 顺手输入一个 admin admin,看到下面的信息 欢迎admin这里是你的信息:key:xRt*YMDqyCCxYxi9a@LgcGpnmM2X8i&6 第一步想的是二次注入,但是一直被嘲讽,出题人素质有待加强,然后重新捋一遍思路,是不是命令注入,稍微测试了一下,感觉不对路,重新回过头,提示的这个key很明显是 jwt 的key,然后猜测二次注入的部分是不是在token部分,结…

0x00知识点:SSRF SSRF (Server-side Request Forge, 服务端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞.一般情况下,SSRF攻击的目标是从外网无法访问的内部系统.正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统. 漏洞产生原因 由于服务端提供了从其他服务器应用获取数据的功能且没有对地址和协议等做过滤和限制.比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等.举个栗子,漏洞代码ssrf.php:…