CTFshow-命令执行(Web118-122,124)
CTFshow-命令执行(Web118-122,124)Web118输入ls,cat 等脚本都不行,fuzz测试一下 我们的payload一般是cat/nl等命令+flag.php。flag.php我们可以用通配符代替????.???。cat/nl等命令我们可以用Bash内置变量。 环境变量PATH一般是/bin,题目路径PWD是/var/www/html。 但是题目过滤了数字,无法使用切片。换一种方式获取字符。 linux可以利用~获得变量的最后几位(从最后开始获取),使用取反号时,任何字母等同于数字0。 ${IFS}可以,其他都不太行 ${PATH:~A}${PWD:~A}表示的就是PATH的最后一个字母和PWD的最后一个字母,组合起来就是nl 12345678$PWD和${PWD} 表示当前所在的目录 /var/www/html${#PWD} 13 前面加个#表示当前目录字符串长度${PWD:3} ...
CTFshow-命令执行(Web29-40)
CTFshow-命令执行(Web29-40)CTFWeb-命令执行漏洞过滤的绕过姿势_绕过空格过滤-CSDN博客 总结rce(远程代码执行各种sao姿势)绕过bypass_远程命令执行绕过-CSDN博客 对比两者的源代码,我们发现,cat指令把flag.php的内容导出后依然遵循php的语法,那么没有echo语句,就无法显示,而tac指令将一切倒过来后:就不是php语句了,在html语句里就就会直接显示出来。 123456789101112${IFS}$9{IFS}$IFS${IFS}$IFS$1 //$1改成$加其他数字貌似都行IFS< <> {cat,flag.php} //用逗号实现了空格功能,需要用{}括起来%20 (space)%09 (tab)X=$'cat\x09./flag.php';$X ...
CTFshow-命令执行(Web41-57)
CTFshow-命令执行(Web41-57)CTFWeb-命令执行漏洞过滤的绕过姿势_绕过空格过滤-CSDN博客 总结rce(远程代码执行各种sao姿势)绕过bypass_远程命令执行绕过-CSDN博客 对比两者的源代码,我们发现,cat指令把flag.php的内容导出后依然遵循php的语法,那么没有echo语句,就无法显示,而tac指令将一切倒过来后:就不是php语句了,在html语句里就就会直接显示出来。 123456789101112${IFS}$9{IFS}$IFS${IFS}$IFS$1 //$1改成$加其他数字貌似都行IFS< <> {cat,flag.php} //用逗号实现了空格功能,需要用{}括起来%20 (space)%09 (tab)X=$'cat\x09./flag.php';$X ...
逆向攻防世界CTF系列57-babymips
逆向攻防世界CTF系列57-babymips32位无壳,IDA8.3打开不能反编译,使用7.5打开 12345678910int __fastcall main(int a1, char **a2, char **a3){ setbuf((FILE *)stdout, 0); setbuf((FILE *)stdin, 0); printf("Give me your flag:"); scanf("%32s", v5); for ( i = 0; i < 32; ++i ) *((_BYTE *)&i + i + 4) ^= 32 - (_BYTE)i; if ( !strncmp(v5, fdata, 5u) ) result = sub_4007F0(v5); else result = puts("Wrong"); return result;} 跟进变量i和v5发现地址差4,这里就是将32位逐位异或32-...
PHP2-CTFWeb进阶wp-攻防世界13
CTFWeb进阶wp-攻防世界-PHP2用了御剑和dirsearch扫描了一下发现什么也没扫描到,其它人好像有扫描到的,看了大佬的wp说有index.phps,去查了下。 phps 文件就是 php 的源代码文件,可以当作一个知识点记住,直接访问/index.phps,得到源码 123456789101112131415<?phpif("admin"===$_GET[id]) { echo("<p>not allowed!</p>"); exit();}$_GET[id] = urldecode($_GET[id]);if($_GET[id] == "admin"){ echo "<p>Access granted!</p>"; echo "<p>Key: xxxxxxx </p>";}?>Can you anthenticate to...
CTFshow-爆破(Web21-28)
CTFshow-爆破(Web21-28)Web21抓包 选则dic.zip里的字典爆破,记得添加前缀admin: 答案admin:shark63 burp里有一个自定义迭代器,可以设置前几部分,很好用 Web22题目失效了直接看wp吧 360quake 使用空间搜索引擎—>360quake 搜索语法—>domain=”ctf.show” 可以搜索出子域名—>vip.ctf.show 可以发现子域名vip.ctf.show下面有flag—>flag{ctf_show_web} Web23直接给源码 123456789101112131415<?phperror_reporting(0);include('flag.php');if(isset($_GET['token'])){ $token = md5($_GET['token']); if(substr($token, 1,1)===substr($token, 14,1) &&...
CTFshow-信息收集(Web1-20)
CTFshow-信息收集(Web1-20)花了599开会员,对了,租号可以找我便宜,价钱好说, Web1 Web2 Web3burp抓包,注意,不要用HTTPS访问,很麻烦 Web4提示robots.txt 接着访问 Web5提示phps源码泄露 直接访问index.phps Web6提示:解压源码到当前目录 dirsearch扫描 提交发现错了,直接访问试试 Web7提示:版本控制很重要,但不要部署到生产环境更重要。 git Web8提示:版本控制很重要,但不要部署到生产环境更重要。 ctfshow{d2486c31-9252-439c-abee-429d5a270d61} Web9提示:发现网页有个错别字?赶紧在生产环境vim改下,不好,死机了 扫描一下啥也没 搜索 在使用vim时会创建临时缓存文件,关闭vim时缓存文件则会被删除,当vim异常退出后,因为未处理缓存文件,导致可以通过缓存文件恢复原始文件内容 以 index.php 为例:第一次产生的交换文件名为 .index.php.swp 再次意外退出后,将会产生名为...
CTF-Web入门wp-XCTF-(1-12)
CTF-Web入门wp-XCTF-(1-12)本人也是刚入门ctf-web系列,写一点wp 另外提供两个学习ctf的网站Hello CTF (hello-ctf.com)和Web 简介 - CTF Wiki (ctf-wiki.org) 入门题目地址:攻防世界 (xctf.org.cn) view_sourceF12查看Flag get_post使用HackBar get提交1...
攻防世界39-bug-CTFWeb
攻防世界39-bug-CTFWebdirsearch扫描无果,用sql注入测试失败,注册登录 Manage要管理员权限,这题的关键那应该就在获取权限上,在外面的找回密码。 burp抓包看看,拿刚注册的账号密码试试 发现分为两步,第一步提交信息,第二部修改密码 那如果我们把admin1改成admin呢?试试 成功了,点击manage hackbar设置XFF试试或burp添加X-Forwarded-For:127.0.0.1 查看源码 index.php?module=filemanage&do=upload 试了download,wirte,read,upload是有效的 现在眼熟了,可能要上传一句话木马 上传test.php 1<?php phpinfo(); ?> 被拦截 打算先上传,然后改后缀试试,显示it is not a image 可能是内容有php或者没有jpg的格式,或者后缀有问题,content-type 先改php内容看看 1<script...
pwn学习-堆入门
pwn学习-堆入门什么是堆堆是虚拟地址空间的一块连续的线性区域提供动态分配的内存,允许程序申请大小未知的内存在用户与操作系统之间,作为动态内存管理的中间人响应用户的申请内存请求,向操作系统申请内存然后将其返回给用户程序管理用户所释放的内存,适时归还给操作系统 堆管理器各种堆管理器 dlmalloc – General purpose allocator ptmalloc2 – glibc jemalloc – FreeBSD and Firefox tcmalloc – Google libumem – Solaris 堆管理器并非由操作系统实现,而是由libc.so.6链接库实现。 封装了一些系统调用,为用户提供方便的动态内存分配接口的同时,力求高效地管理由系统调用申请来的内存。 arena 堆的申请在我们常见的操作中,堆是用malloc函数申请使用的。 堆的申请我们一般用malloc函数进行申请使用。 堆chunk malloc...
