0x00前言 这几天从网上找个CMS源码开始练习审计,盯着众多的代码debug调呀调头晕脑胀的,还不错找到个文件读取和一个ssrf... 上月底结束的CISCN线上赛,web四道,仔细研究的2道,做出了一道,刚好比赛时顺手把源码弄了下来,结合赛后师傅们的writeup复现一下这两道 0x01JustSoSo 有3个文件,index.php和hint.php可以通过文件filter来读取,而flag.php需要利用反序列化来读取 index.php <?php error_reporting(0)…

 0X0.前言 X-NUCA 2017来了,想起2016 web专题赛,题目都打不开,希望这次主办方能够搞好点吧!还没开赛,依照惯例会有赛前指导,放一些训练题让CTFer们好感受一下题目. 题目有一大部分是去年的题,简单过了一遍,重点放在那几道新题. 有五道新题,自己又不是专业CTFer,菜鸡一枚,做多少记录多少. 目前做出了<阳光总在风雨后>和<default>,<Document>get了shell,但无奈死活找不出flag. 下面是题解,不定期更新题目WP 0X1…

攻防世界web题 robots https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5063 百度 robots协议 robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Notepad,就可以创建和编辑它[1]  .robots.txt是一个协议,而不是一个命令.robots.txt是搜索引擎中访问网站的时候要查看的第一个文件.robots.txt文件…

攻防世界web题 get_post https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5062 了解http请求方法,此处考察get和post两个最常用的请求方法. HTTP协议中共定义了八种方法或者叫“动作”来表明对Request-URI指定的资源的不同操作方式,具体介绍如下: GET:向特定的资源发出请求. POST:向指定资源提交数据进行处理请求(例如提交表单或者上传文件).数据被包含在请…

实验吧web题: 这个有点简单 因为刚了解sqlmap,所以就拿sqlmap来练练手了 1,先测试该页面是否存在sql注入漏洞 2.找到漏洞页面,复制url,然后打开sqlmap 先查看当前数据库 然后爆出: 然后爆出数据库下的表:sqlmap.py -u "http://ctf5.shiyanbar.com/8/index.php?id=1" -D my_db –tables 字段:sqlmap.py -u "http://ctf5.shiyanbar.com/8/inde…

之前边看writeup,边做实验吧的web题,多多少少有些收获.但是知识点都已记不清.所以这次借助i春秋这个平台边做题,就当记笔记一样写写writeup(其实都大部分还是借鉴其他人的writeup). 本人小白一枚,于是从低分题(简单题)边学边做 这篇随笔会写4道题 0x01:爆破-1 0x02:爆破-2 0x03:爆破-3 0x04:upload 0x01:爆破-1 打开链接,发现一段PHP代码 明确我们的flag在flag.php这个文件里面以注释或者不外显的形式存在. hello这个变量是…

昨天晚上6点开始的HBCTF,虽然是针对小白的,但有些题目确实不简单. 昨天女朋友又让我帮她装DOTA2(女票是一个不怎么用电脑的),然后又有一个小白问我题目,我也很热情的告诉她了,哎,真耗不起. 言归正传: ————————————————————————————————我是分割线——————————————————————————————————————————————————————— 对于那道200分的Web题真是难得有水平. function d_addslashes($array){…

Web题下的SQL注入 1,整数型注入 使用burpsuite,?id=1%20and%201=1 id=1的数据依旧出现,证明存在整数型注入 常规做法,查看字段数,回显位置 ?id=1%20order%20by%202 字段数为2 ?id=1%20and%201=2%20union%20select%201,2 1,2位置都回显,查表名 ?id=1%20and%201=2%20union%20select%20group_concat(table_name),2%20from%20inform…

Ezfileinclude(目录穿越) 拿到http://183.129.189.60:10012/image.php?t=1596121010&f=Z3F5LmpwZw== t是时间,可以利用time.time()获得.f是文件名.经过base64加密.一开始给的是gqy.jpg,访问/gqy.jpg和gpy.jpg的回显一样.尝试目录穿越在gqy.jpg后面加../可以读到etc/passwd import time,requests,base64 url1 = 'http://183.12…

前言 wp是以前写的,整理一下发上来. 不是很全. 2020 极客大挑战 WEB 1.sha1碰撞 题目 图片: 思路 题目说,换一种请求方式.于是换成post.得到一给含有代码的图片 图片: 分析该图片,得知只有传承的roam1和roam2的值不相等,而且SHA1加密后的值相同才会出现flag php对数组进行sha1加密都为false.所以我们传入两个数组进去 构造payload roam1[]=1&roam2[]=2 //这是post传数组的特定形式. 成功打开phpinfo() 图片:…