0x00: 打开题目,题目中告诉我们这题是文件泄露. 0x01: 通过扫描目录,发现可以扫到的有3个文件 index.php flag.php robots.txt 但是浏览flag.php它告诉我们这不是真正的flag 又联系到题目文件泄露,于是测试.swp .swo .bak等备份文件后缀均无果.最后发现是.git泄露. 我们浏览这个url http://6094ef7a9cad4288a4748de8ff8ffc573453e961300f46ce.game.ichunqiu.com/Ch…

前言 涉及知识点:反序列化.代码执行.命令执行 题目来自:i春秋 hash  如果i春秋题目有问题可以登录榆林学院信息安全协会CTF平台使用 或者利用本文章提供的源码自主复现 [i春秋]"百度杯"CTF比赛 十月场-Hash 点击hahaha进入下一个页面 进入之后我们发现这有一段英文说如果不是123 我们就可以获得flag 我们分析URL key部分有个123 我们替换成122试试 试了之后不行我们看到hash的值一看就是md5密文直接拿去解密看看有什么发现 http://地址/in…

出现敏感的信息,然后进行登录 登录成功发现奇怪的show 然后把show放到发包里面试一下 出现了源码,审计代码开始 出flag的条件要user 等于春秋 然后进行login来源于反序列化后的login 下面进行序列化 然后参数为token,可以通过post,get,cookie的方式,但是看到都是用的cookie,我就用post和get…

源码发下提示 尝试登陆 得到个什么鬼, 但是相应包里发现个可疑的东西   //  CTF中的0 和1 这些一般都有套路的 然后在请求头里 改为 1 ##代码审计来了..   分析了半天 后来看了别人的wp 才发先自己想的太复杂  只要提交user=ichunqiu就行了啊我去 cookie 去提交 token= 但是为什么这里一定是cookie里带token才行呢? array_merge()覆盖 接着看题,根据源码,只要提交符合条件的token就可拿到flag,但我们并没有在post,get,…

查看源码得知由vim编写,所以查找备份以及交换文件 找到 /.index.php.swp ,下载后用vim -r恢复该文件即可得到源码 1 <html> 2 <head> 3 <title>blind cmd exec</title> 4 <meta language='utf-8' editor='vim'> 5 </head> 6 </body> 7 <img src=pic.gif> 8 <?php…

这道题也是让我很迷... 打开就是not found,让我一度以为是服务器挂了,细看发现有个404.php 访问也没发现什么东西,只有来自出题人的嘲讽 haha~ 不过在首页的header中发现个奇怪的东西,X-Method:haha,先记着,继续找线索 用cansina扫描发现一个文件 1.php,不过访问也没发现什么有用的东西,只提示 not here,plese trying 接着我是一顿各种尝试,无果... 最后看过提示,才知道X-Method:haha是在告诉我们要注意http的请求方…

需要提交的captcha满足等式,肯定就是MD5碰撞了 附上脚本 import hashlib def func(md5_val): for x in range(1,100000000): md5_value=hashlib.md5(str(x)).hexdigest() if md5_value[:6]==md5_val: return str(x) print func(raw_input('md5_val:')) raw_input('ok') 尝试后发现登录处存在sql注入,于是用 '…

打开题目看到提示 "do you know Vulcan Logic Dumper?" ,再查看源码看到"<!-- index.php.txt ?>",访问后发现一堆看不懂的东西 这肯定就是所谓的Vulcan Logic Dumper了,先了解下相关概念 PHP内核-Zend引擎:http://www.php.cn/php-weizijiaocheng-355597.html PHP中的opcode:https://blog.csdn.net/weiyu…

根据页面源码提示的 test1 test1 登录 刷新此页面并抓包,有个show=0值得关注 在发送的包的header中加一句show:1,即可得到member.php的源码 <?php include 'common.php'; $requset = array_merge($_GET, $_POST, $_SESSION, $_COOKIE); class db { public $where; function __wakeup() { if(!empty($this->where))…

题目源代码给出了提示index.php.txt,打开拿到了一段看不太懂得东西. 图片标注的有flag1,flag2,flag3,同时还有三段字符,然后还出现了_GET,脑洞一一点想到访问 ?flag1=fvhjjihfcv&flag2=gfuyiyhioyf&flag3=yugoiiyhi 后面还提示了一步the next is XXX.zip,估计是要下载网站的备份压缩包.也确实是这样的,我们下载到了1chunqiu.zip,下面就是代码审计了. 在login.php里面对$userna…

简介  原题复现:  考察知识点:PHP弱类型.  线上平台:https://www.ichunqiu.com/battalion(i春秋 CTF平台) 过程 看源码发现这个 vim泄露  下方都试了一遍 .index.php.swp是的 下载源码即可 .index.php.swpindex.php.swp --vim文件泄露index.php.bakindex.php~ 要通过vim编辑器打开   vim -r index.php.swp <html> <head> <ti…

"百度杯"CTF比赛 十月场--EXEC 进入网站页面 查看源码 发现了vim,可能是vim泄露,于是在url地址输入了http://21b854b211034489a4ee1cb0d37b0212560fbf24f2e6468d.changame.ichunqiu.com/.index.php.swp 或者通过dirsearch工具扫描网站目录也可以发现 /.index.php.swp,也可以想到vim泄露 下载文件 下一步就是通过 vim -r index.php.swp恢复ind…

题目在i春秋ctf大本营 页面给出了验证码经过md5加密后前6位的值,依照之前做题的套路,首先肯定是要爆破出验证码,这里直接给我写的爆破代码 #coding:utf-8 import hashlib strs = '35eb09' def md5(s): return hashlib.md5(str(s).encode('utf-8')).hexdigest() def main(): for i in range(100000,100000000): a = md5(i) if a[0:6]…

题目在i春秋ctf大本营 打开页面是两个登录框,首先判断是不是注入 尝试了各种语句后,发现登录界面似乎并不存在注入 查看网页源代码,给出了一个账号 用帐密登陆后,跳转到到member.php网页,网页本身并没有什么提示内容 接着抓包查看,这里找了好久,最后在返回包的头文件中发现了一个可以参数 尝试在请求头中加入show参数: 返回一段源代码,开始审计之路: <?php include 'common.php'; $requset = array_merge($_GET, $_POST, $_SE…

进入题后老套路得到两个关键: 1.$hash=md5($sign.$key);the length of $sign is 8 2.key=123&hash=f9109d5f83921a551cf859f853afe7bb 然后md5解密那个hash=kkkkkk01123 根据源码说的$sign位数为8位,后改一下key 然后md5后得到提示Gu3ss_m3_h2h2.php这个文件 <?php class Demo {     private $file = 'Gu3ss_m3_h2h2…

前面比较常规吧看源代码-看到vim 然后就是 .index.php.swp 然后就是 这个文件的恢复,用linux下vim -r index.php.swp  就可以看到不是乱码的文件了 然后就是审核源码 1.用了ord()[返回第一个的acsii编码] 函数 大概条件的条件就是 不能是数字 2.用16进制的就可以绕过了 0xabcdef == '11259375' 条件为真 然后主要就是那个cmd的问题,不允许tcp链接 我在网上看到3种方法 1.用了一个python脚本进行sleep() 进…

打开发现是海洋cms,那就搜索相关漏洞 找到一篇介绍海洋cms的命令执行漏洞的文章:https://www.jianshu.com/p/ebf156afda49 直接利用其中给出的poc /search.php searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan…

网页源码提示用户信息在user.php中,直接访问是不会有显示的,于是查找相应的备份文件,vim交换文件等,最后发现/user.php.bak 用burp采用如下配置开始爆破 最后爆破出两个账号 登录之后查看源码,发现一个被注释的表单,看似应该存在文件上传漏洞,在页面按F12,更改网页,去掉注释 本来想上传一句话的,但是发现就算上传普通图片文件和图片文件名也会提示文件名非法,猜想这里并不是真的文件上传,并不是用菜刀连上找flag.只是构造文件名,并且上传到服务器成为可执行文件便可通过.所以文件内…

进去md5碰撞,贴一下脚本代码 import hashlib def md5(value): return hashlib.md5(str(value).encode("utf-8")).hexdigest() for i in range(1,9999999): if (md5(i)[0:6] =="f5ce8c"): print(i) break 登录处存在SQL注入,直接万能密码就能登录.登录后给了三个文件,提示flag在根目录下,点开a.php的同时我们抓包…

“百度杯“CTF比赛 九月场 ###XSS平台   看了别人的wp才知道这里需要变数组引起报错然后百度信息收集,这一步在实战中我觉得是很有作用的,get到.       这里取百度rtiny,看别人wp上说这里是因为前面的目录很正常,这个rtiny看起来有问题,就去百度.. 百度第一栏直接拿下源码,接下来就是代码审计.这几天做题老是遇到pythonweb框架的服务器,所以直接去康啦康教程 这里直接推荐一篇文章 http://shouce.jb51.net/tornado/   代码审计 这里因为…

题目在i春秋的ctf训练营中能找到 首先先是一个用户登录与注册界面,一般有注册界面的都是要先让你注册一波,然后找惊喜的 那我就顺着他的意思去注册一个号 注册了一个123用户登录进来看到有个文本编辑器,莫不是一个上传漏洞? 先传个图助助兴: 爆出了是一个kindeditor编辑器,先去百度看看有没有已知漏洞直接用的 翻到一个目录遍历的0day,里面有详细的利用方法 访问url+kingedit/php/file_manager_json.php?path=/,得到绝对路径 继续翻,http://0…

题目在i春秋ctf大本营 题目的提示并没有什么卵用,打开链接发现其实是easycms,百度可以查到许多通用漏洞 这里我利用的是无限报错注入 访问url/celive/live/header.php,直接进行报错注入 xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(concat(database())) ),…

题目在i春秋ctf训练营 又是一道cms的通用漏洞的题,直接去百度查看通用漏洞 这里我使用的是以下这个漏洞: 海洋CMS V6.28代码执行0day 按照给出的payload,直接访问url+/search.php?searchtype=5&tid=&area=eval($_POST[1]) 之后用菜刀连接,但乍一看并没有flag.php 反手去查了一下海洋cms的数据库配置文件的存放地址: 出去用菜刀连接数据库 编辑完成后右键数据库管理,可以看到flag了…

题目在i春秋ctf训练营 翻看源码,发现提示: 打开user.php,页面一片空白,参考大佬的博客才知道可能会存在user.php.bak的备份文件,下载该文件可以得到用户名列表 拿去burp爆破: 这七百多号人就没个1999年生的?拿1998继续试.....又凉了...一直试到1990年,终于有个大佬是这年的 账号lixiuyun,密码lixiuyun1990 进入到一个空白的个人中心 直接在火狐查看器中将注释符删除,然后先上传一个图片试试 在文件名后加上.php返回不能出现php,那就拿ph…

题目在i春秋ctf大本营 看网页源码提示: 这边是个大坑,访问login.php发现根本不存在注入点,看了wp才知道注入点在l0gin.php 尝试order by语句,发现3的时候页面发生变化,说明id存在注入 初步判定是一个基于时间的盲注 直接上注入语句: 发现并没有发生延迟,看返回页面","后面的语句都被过滤了,这就说明逗号在这里不能用,那么if语句就失效了 这里可以用select case when then语句代替,详细可以参考前之前的文章: 实验吧_who are you?…

题目在i春秋ctf大本营 题目一开始就提醒我们是注入,查看源码还给出了查询语句 输入测试语句发现服务器端做了过滤,一些语句被过滤了 试了一下/**/.+都不行,后来才发现可以用<>绕过 接着就是常规注入语句,先order by判断一下,发现到4就没有回显了,接着上union select 接着直接一套combo带走 数据库: 表: 字段: 数据:…

题目在i春秋ctf大本营 又是一道cms的题,打开御剑一通乱扫,发现后台登录地址,访问一看妥妥的齐博cms 记得以前很久以前利用一个注入通用漏洞,这里我贴上链接,里面有原理与利用方法详细说明: 齐博cms_userinfo注入 按照这个思路,我们先在首页注册test1账号并登录,直接访问注入的页面, 先按照之前的套路进行测试: 访问用户信息发现成功执行,说明存在注入漏洞: 之前在打开主页的同时,网页上也给出了绝对路径 因为之前的扫描发现根目录下存在flag.php文件,所以这里应该可以通过注入语…

题目在i春秋ctf大本营 打开链接是一张图片,审查元素发现关键词base64,图片的内容都以base64加密后的形式呈现,查看url形式,应该是一个文件读取的漏洞 这里我们可以采用url/index.php?jpg=index.php来获取index.php的源代码经base64加密后的代码 base64解密后得到如下源码: <?php /** * Created by PhpStorm. * Date: 2015/11/16 * Time: 1:31 */ header('content-ty…

先去i春秋打开复现环境 打开链接,emmmmmmm(是我妹妹,逃~) 说正经的,jpg=hei.jpg 这一看就是文件包含. 我们先看看穹妹的源码吧 返回的是图片用base64译码的结果. <title>file:hei.jpg</title><img src='data:image/gif;base64,/9j/4AAQSkZJRgABAQAAAQABAAD/2wBDAAgGBgcGBQgHBwcJCQgKDBQNDAsLDBkSEw8UHRofHh0aHBwgJC4nIC…

签到题: 题目提示: 文件在i春秋的ctf2群里,加群下载文件 下载下来之后发现有压缩密码 题目提示有提示解压密码:key:ichunqiumemeda 打开文件,得到flag 签到题2: 点击下载附件 给出的却是一串unicode码,转换一下编码 得到flag 签到题3: 一串md5:21232f297a57a5a743894a0e4a801fc3 拿去解一下,得到admin 加上flag{}格式就是flag了 敲击: 按照字母跟着在键盘上连,可得到字母x,z,v,o,c 加上flag{}格式…