<?php if(isset($_GET) && !empty($_GET)){ $url = $_GET['file']; $path = "upload/".$_GET['path']; }else{ show_source(__FILE__); exit(); } ​ if(strpos($path,'..') > -1){ die('This is a waf!'); } ​ ​ if(strpos($url,'http://127.0.0.1/')…

WEB_ezeval 进入环境,源码给出 <?php highlight_file(__FILE__); $cmd=$_POST['cmd']; $cmd=htmlspecialchars($cmd); $black_list=array('php','echo','`','preg','server','chr','decode','html','md5','post','get','file','session','ascii','eval','replace','assert','exec…

这道题搞了我很长时间,主要太菜了,开始复现吧 <?php     $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);     @mkdir($sandbox);     @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"]));  …

<?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $http_x_headers[0]; } echo $_SERVER["REMOTE_ADDR"]; $sandbox = "sandbox/" . md5("o…

explode()   字符串转数组,用 ,号分隔数组 @mkdir()    创建目录 @chdir() 改变目录 这两的效果一样,如果在/home/php 目录下,执行mkdir('var') 和chdir('var')的效果是一样的,/home/php/var,不过chdir() 会定位到新建目录,而mkdir()不会 这里是用sandbox/orange178.3.X.X md5加密的  创建目录 shell_exec() 执行shell escapeshellarg()  1.确保用户…

pchar??? 补充知识点 开始这题之前我们先补充一个知识点 phar 的文件包含 和上面类似先创建一个phar 标准包,使用 PharData 来创建,然后添加文件进去phar里面. 然后在文件包含的函数里面 可控的话 ,使用phar://xxxx/xxx 就可以实现文件包含了 解题 进入题目查看源码发现一个界面我们去访问看一下 然后我们在include.php中查看源码又发现一个页面upload.php 两个页面访问结果如下 估计是通过upload.php上传的内容然后通过include.…

端午节就该吃粽子 题目如下让我们访问login.php 然后就一个登录界面查看源码发现index.php 我们直接访问发现没有结果使用伪协议读取 然后我们使用base64解密 <?php error_reporting(0); if (isset($_GET['url'])) { $ip=$_GET['url']; if(preg_match("/(;|'| |>|]|&| |python|sh|nc|tac|rev|more|tailf|index|php|head|nl|…

2020祥云杯到点了 下载附件得到三个word文档,我们打开第一个文档然后将隐藏文字显示出来 得到提示 我们查看属性应该就是日期了我们先把他记录下来 然后打开第二个文档 输入刚刚的密码 在第二个word最下面发现疑似培根加密的字符 我们去解密 也暂时先记录下来 第三个word打开时我电脑跳出了个提示,感觉里面隐藏了一些东西,我们使用常规思路将后缀改为.zip打开看看,从中翻出了一张图片 是.bmp的文件后缀推测为wbs43open隐写 我们用工具来解开隐写 第四步 第五步 打开即获得flag…

simple_pop 打开题目得到源码 这边是php伪协议的考点,需要去读取useless.php 解码获得源码 <?php class Modifier { protected $var; public function append($value){ include($value);//flag.php } public function __invoke(){ $this->append($this->var); } } class Show{ public $source; pu…

SDNISC2020_过去和现在 打开附件就一张图片 根据题意感觉是图片中隐藏了什么信息 使用binwalk -e分离这里foremost不行 三个文件查看在第一个中发现flag…

查看JS,在JS中找到p14.php,直接copy下来console执行,输入战队的token就可以了 js_on 顺手输入一个 admin admin,看到下面的信息 欢迎admin这里是你的信息:key:xRt*YMDqyCCxYxi9a@LgcGpnmM2X8i&6 第一步想的是二次注入,但是一直被嘲讽,出题人素质有待加强,然后重新捋一遍思路,是不是命令注入,稍微测试了一下,感觉不对路,重新回过头,提示的这个key很明显是 jwt 的key,然后猜测二次注入的部分是不是在token部分,结…

前言 最近在做CTF题的时候遇到这个考点,想起来自己之前在做实验吧的入门CTF题的时候遇到过这个点,当时觉得难如看天书一般,现在回头望去,仔细琢磨一番感觉也不是那么难,这里就写篇文章记录一下自己的学习的过程. 正文 何为HASH长度拓展攻击? 简单的说,由于HASH的生成机制原因,使得我们可以人为的在原先明文数据的基础上添加新的拓展字符,使得原本的加密链变长,进而控制加密链的最后一节,使得我们得以控制最终结果. 这里我们以MD5加密算法为例子. MD5长度拓展攻击 下面是个简单的PHP例子. <…

HECTF 我真是又菜又没时间肝题..又又又只水了波简单题... Reverse 1.Hello_Re file查一波 32bit,拖进IDA中 老规矩shift+F12 查看字符串: 跳转 F5查看 scanf("%s", &v4); if ( strlen(&v4) == 25 && judge0(&v4, 26) ) puts("Congratulations! You found the flag!"); 双击 jud…

目录: easy_calc 禁止套娃 EasyWeb Babysqli Easyweb easy_serialize_php 我有一个数据库 SSRFme 枯燥的抽奖 EasyPHP 题目解析: easy_calc 涉及 知识点: (1)php字符串解析特性绕过WAF (2)HTTP请求走私攻击 再贴一个学习链接 (3)取反操作 ~%D1 == '.' (46+209=255) ~$D0 == '/' (47+208=255) 其余ascii码类似. 解析: 进入题目的界面,审计js代码发现有c…

ssrf解题记录 最近工作需要做一些Web的代码审计,而我Web方面还比较薄弱,决定通过一些ctf的题目打打审计基础,练练思维,在博客上准备开几个专题专门记录刷题的过程. pwn题最近做的也很少,也要开始做题了. 2020 GKctf:Ezweb 题目打开如下: 查看前端页面源码发现hint:get方式提交secret参数.传递secret参数之后发现后端执行了ifconfig命令. 有了内网ip之后,尝试在输入框输入ip地址,然后发现会对服务器的资源进行请求,请求到资源的结果会显示在页面前端.…

转载 https://whoamianony.top/2021/03/13/Web安全/Bypass Disable_functions/ https://www.mi1k7ea.com/2019/06/02/浅谈几种Bypass-disable-functions的方法/#0x07-利用imap-open-绕过 https://www.anquanke.com/post/id/208451#h2-10 https://github.com/AntSwordProject/AntSword-La…