记一道SSRF配合SQL注入的题. 喜欢在做题之前扫一下网站的目录,扫到了robots.txt文件可以访问,拿到user.php.bak的源码.同时还有flag.php. <?php class UserInfo { public $name = ""; public $age = 0; public $blog = ""; public function __construct($name, $age, $blog) { $this->name = $

解题思路 首先登陆页面发现是这样的: 查看源码 源码很正常,也没有什么特别的 web目录扫描 我用的是dirmap工具扫描,扫描结果保存在一个txt文件中,结果可知没什么后台. robots.txt 发现有/user.php.bak 下载后 审计源码 直接是一个UserInfo类,三个属性,get函数中存在ssrf,且没有过滤.curl可用file协议,blog属性调用了get函数,所以这里使用file协议读取文件.file:///var/www/html/flag.php 正常解题 首先肯定要

[网鼎杯 2018]Comment 又遇到了一道有意思的题目,还是比较综合的,考的跟之前有一道很相像,用的还是二次注入. 因为找不到登陆点的sql注入,所以扫了一下源码,发现是存在git泄露的. [21:03:10] Starting: [21:03:10] 301 - 388B - /.git -> http://72f9009e-83ae-410a-8849-6cf1c2f44fe2.node3.buuoj.cn/.git/ [21:03:10] 200 - 23B - /.git/HEAD

解题过程: 首先进行目录扫描,发现以下目录: user.php.bak login.php flag.php user.php robots.txt user.php.bak猜测存在源码泄露. 查看源码: <?php class UserInfo { public $name = ""; public $age = 0; public $blog = ""; public function __construct($name, $age, $blog) { $

简介  原题复现:  考察知识点:SSRF.反序列化.SQL注入  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 过程 分析了整体结构 点击jion可以添加账号还有博客地址添加OK之后会有ifram把你的博客地址引用到当前页面 jion添加的信息点击进入发现了get注入点 注入进去没flag 不过在data字段下发现了序列化的值 /view.php?no=1 and 1=1 /view.php?no=1 and

这道题,也是费了很大的劲,慢慢理解慢慢消化,今天,才开始把wp写出来 首先我们先扫描一波目录,用dirsearch扫一手,发现有robots.txt文件 dirseach自带的字典在db目录下,使用格式以及常用参数如下:py dirsearch.py -u [target url] -e * -u后面跟要扫的url -e是指定的url -w是指定字典 -r递归目录 --random-agents使用随机UA 然后,我们紧接着用御剑扫一手,发现了flag.php,然后我们显示访问robots.tx

一道比较简单的题,不过对PHP还是不够熟悉 知识点 1.PHP date函数 PHP date() 函数用于对日期或时间进行格式化. 语法 date(format,timestamp) 参数 描述 format 必需.规定时间戳的格式. timestamp 可选.规定时间戳.默认是当前时间和日期. date() 函数的格式参数是必需的,它们规定如何格式化日期或时间. 下面列出了一些常用于日期的字符: d - 表示月里的某天(01-31) m - 表示月(01-12) Y - 表示年(四位数) 1

1.进入题目之后只有一个登录界面,检查源代码信息并没有发现有用的信息,尝试万能密码登录也不行,结果如下: 2.进行目录扫描,发现了注册界面:register.php,结果如下: 3.那就访问注册界面,随便注册一个账户进行登录,f返回的界面中显示了注册的账户名,这里就想到了二次注入,结果如下: 4.进行注入的话那就先判断下被过滤的关键词,在注册时进行抓包,然后使用爆破模块进行测试,发现information和,被过滤了,开始以为'也被过滤了,但1'+2+'1可以注册,应该是语句的问题,而且返回的信

1.打开之后只有一个留言页面,很自然的就想到了二次注入得问题,顺带查看了下源代码信息,并没有什么提示,显示界面如下: 2.那先扫描一下目录,同时随便留言一个测试以下,但是显示需要登录,账户.密码给出了部分提示,但是最后三位密码需要爆破,结果如下: 3.扫描到了.git文件,那就使用githack尝试获取下源码信息,但是显示得源码信息不全,需要恢复,(这里在网上找了下,一直恢复不成功,后面再看),结果如下: githack下载下来的: <?php include "mysql.php&quo

目录 刷题记录:[网鼎杯]Fakebook 一.涉及知识点 1.敏感文件泄露 2.sql注入 二.解题方法 刷题记录:[网鼎杯]Fakebook 题目复现链接:https://buuoj.cn/challenges 参考链接:解网鼎杯一道web题(fakebook) 一.涉及知识点 1.敏感文件泄露 访问robots.txt可以得到源码的备份地址 2.sql注入 常规注入,不说了 二.解题方法 这道题比较简单,我靠非预期解做出来了,题目没过滤load_file,可以直接从get注入点盲注出来,贴

0x00 前言 ...有一说一,赵总的BUUCTF上的这道题目并没有复现到精髓.其实感觉出题人的题目本身没有那么简单的,只不过非预期实在是太简单惹. 涉及知识点: 1.php中protected变量反序列化的小Trick 2.获取任意文件读取权限后的文件绝对路径的查找 <!--more--> 0x01 源码 直接进入题目就可以看到源码了. <?php​include("flag.php");​highlight_file(__FILE__);​class FileHa

CTF-i春秋网鼎杯第四场部分writeup 因为我们组的比赛是在第四场,所以前两次都是群里扔过来几道题然后做,也不知道什么原因第三场的题目没人发,所以就没做,昨天打了第四场,简直是被虐着打. shenyue 下载题目,打开发现是脚本代码,代码如下 import sys from hashlib import sha256 current_account = "" secret = '******************************' def authenticate(cr

CTF-i春秋网鼎杯第二场misc部分writeup 套娃 下载下来是六张图片 直接看并没有什么信息 一个一个查看属性 没有找到有用信息 到winhexv里看一下 都是标准的png图片,而且没有flag写入Hex数据 继续扔到kali里用binwalk分析一下 图片未嵌入其他文件 直接在kali双击打开png图片,发现可以正常打开(注:被修改过高度的图片无法在kali中直接打开,会显示无法载入图像) 那继续分析IDAT块,IDAT是png图片中储存图像像数数据的块,不清楚的可以去补充一下关于pn

CTF-i春秋网鼎杯第一场misc部分writeup 最近因为工作原因报名了网鼎杯,被虐了几天后方知自己还是太年轻!分享一下自己的解题经验吧 minified 题目: 一张花屏,png的图片,老方法,先看属性 什么也没. 再扔到winhexv里看看 头文件正常,确实是png,尝试搜索flag关键字也没有收获. 继续扔到kali里用binwalk分析一下 也没有发现异常的 会不会是高度隐写呢,直接在kali双击打开png图片,发现可以正常打开(注:被修改过高度的图片无法在kali中直接打开,会显示

2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup 2020年网鼎杯白虎组赛题.zip下载 https://download.csdn.net/download/jameswhite2417/12421267 0x00 签到操作内容: 完成游戏,通过第7关,让提交队伍token值 提交后获得flag 通过qq截图,文字识别 FLAG值: flag{f6e5************************3112} 0x01 hidden操作内容: 图片隐写Binwalk图片,

2020 网鼎杯WP 又是划水的一天,就只做出来4题,欸,还是太菜,这里就记录一下做出的几题的解题记录 AreUSerialz 知识点:反序列化 打开链接直接给出源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op

这道题目登录之后我们可以看到有join和login login即登录,join即注册 我们通过查看robots.txt可以知道 有源代码泄露. 先将泄露的源码下载下来审计一波 <?php class UserInfo { public $name = ""; public $age = 0; public $blog = ""; public function __construct($name, $age, $blog) { $this->name =

0x00知识点:SSRF SSRF (Server-side Request Forge, 服务端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞.一般情况下,SSRF攻击的目标是从外网无法访问的内部系统.正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统. 漏洞产生原因 由于服务端提供了从其他服务器应用获取数据的功能且没有对地址和协议等做过滤和限制.比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等.举个栗子,漏洞代码ssrf.php:

题目位置 https://gitee.com/hac425/blog_data/tree/master/wdb babyheap 通过分配和释放构建 2 个 fastbin 链 利用 show 功能, leak heap 的基地址 然后可以在 heap 伪造 fastbin , 造成 overlap chunk 修改 chunk size ,同时伪造 free chunk unlink 攻击 , 可以控制 ptr_table 然后通过 修改 edit_count 实现多次写 改 __free_h

注册后,即可点击查看谁的电话和我类似. 注册时有三个必填项,分别是用户名.密码和电话.电话要求必须数字. 注册个1111的电话后,点击查看,返回有1个人电话和我类似,在注册一个为1111的,返回有2人电话和我类似. 说明连数据库查询了,而且只返回数字. 盲注的思路,注册时电话填写十六进制. 于是python如下: #coding=utf-8 import requests import binascii import re def login_sqli(url,username,password