Buu摸鱼日记之14
buu摸鱼日记之14
[CISCN2019 华北赛区 Day1 Web2]ikun
被彻底吊打了,真的不会
两个知识点,一个是jwt,弄到了git的工具
jwtdebuger
以及git某大佬的工具https://github.com/brendan-rius/c-jwt-cracker
直接build就可以用,非常方便
伪造jwt来访问admin
第二个是py的反序列化
import pickle
import urllib
class payload(object):
def __reduce__(self):
return (eval, ("open('/flag.txt','r').read()",))
a = pickle.du...
Buu摸鱼日记之13
buu摸鱼日记之十三
[BJDCTF2020]The mystery of ip
这题有点东西
居然是ssti真没想到
题目里面出现了ip,那自然想到client-ip/XXF
然后XXF可控,那么注入点就是这里
然后是smart(不是flask,这个可以用payload{{7*‘7}}’ 出49来判断
利用system(‘cat /flag’) 拿到flag
[BJDCTF2020]ZJCTF,不过如此
这个前半截和ZJCTF一模一样
后半端需要这个getshell
https://xz.aliyun.com/t/2557
这个洞理解起来好吃力,大概就是修改参数来达到串改php内容的作法
写个马进去/?\S*=${eval($_POST[field])}
...
Buu摸鱼日记(12)
buu摸鱼日记(12)
[GWCTF 2019]我有一个数据库
用nikto直接扫出来了Phpmyadmin,然后就进了后台,然后停止了思考
这个搞不出来主要是要一个cve-2018-12613-PhpMyadmin后台文件包含
https://www.jianshu.com/p/fb9c2ae16d09
就是过滤不严导致的一个CVE,可以造成文件读取,RCE什么的
/phpmyadmin/?target=db_datadict.php%253f/../../../../../../../../flag
[BJDCTF 2nd]假猪套天下第一
绕的我有点晕
尝试sql注入的时候返回L0g1n.php
等的时候发现要改请求头
一通改就行,最后是这样的
GET /...
Buu摸鱼日记(11)
buu摸鱼日记(11)
这个题目,是我图样了
[GKCTF2020]CheckIN
乍一看我以为是反序列化,然后仔细看了下发现我想多了,这不是个白给的shell嘛(RCE)
<?php
highlight_file(__FILE__);
class ClassName
{
public $code = null;
public $decode = null;
function __construct()
{
$this->code = @$this->x()['Ginkgo'];
$this->decode = @base64...
Buu摸鱼日记(10)
buu摸鱼日记(10)
[GXYCTF2019]禁止套娃
一个简单的rce,之前没怎么接触过RCE,没做出来
首先niklo扫了下,发现是git泄露,于是乎直接拿到了源码
<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
i...
Buu摸鱼日记(9)
buu摸鱼日记(9)
这几天莫名其妙有点惰怠,希望不要继续摸下去了
[0CTF 2016]piapiapia
思路不难,就是做不来
进去以后扫一下目录,就是源码(www.zip)
里面除了flag什么都有
关键在于
可以利用数组进行绕过,由于preg_match(pattern,array) = false,就不会die了
以及改变字符串长度导致的反序列化漏洞
由于waf里会把where替换成字符hacker,长度是有所区别的,呢么由于是先序列化,然后修改数值,会导致相应部分的字符被顶掉,只解析一部分字符串
呢么后面的部分就会被逃匿掉(不会被解析
wherewherewherewherewherewherewherewherewherewherewherewher...
Buu摸鱼日记(8)
buu摸鱼日记(8)
[极客大挑战 2019]HardSQL
当年没做出来,现在回头一看并不是难题,只要找到方向
一开始以为是盲注,搞了半天发现不太对,是报错注入。刚好之前没怎么搞过这个,研究一下。
用burp 爆破一下,发现= 空格 等都被过滤了,呢么可以用like替代=,用括号替代空格。
然后利用updatexml报错注入
UPDATEXML (XML_document, XPath_string, new_value);
第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc
第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。
第三个参数:new_valu...
Fuckcuit定时打卡
fuckcuit定时打卡
我看某群友想搞一个,就顺便水一篇好了
签到的py jo本嫖的是longlone的,我就不放出来了,建议直接去找他要。(我寻思不能断了他五块钱的财路
反正现在也没验证码了,当时我处心积虑在里面插一个ocr也没啥用了。
那么关键问题是怎么定时运行
我的脚本是挂在一个Windows服务器里(和coolq机器人放在一起,懒得docker了。)Windows下定时启动py脚本的教程:https://blog.csdn.net/wwy11/article/details/51100432
Linux也有相应功能,crontab,貌似很多发行版都有自带的,会定时自动运行bash,写一个简单的shell来定时运行就行了。这里也放一个教程:https://blog....
40 post articles, 5 pages.