梦~醒🍇

发表于 2024-08-17 | 更新于 2025-05-18 | CTF | web姿势

SSRF漏洞原理攻击与防御一、SSRF是什么？SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）二、SSRF漏洞原理SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如,黑客操作服务端从指定URL地址获取网页文本内容，加载指定地址的图片，下载等等。利用的是服务端的请求伪造。ssrf是利用存在缺陷的web应用作为代理攻击远程和本地的服务器三、SSRF漏洞挖掘1、分享：通过URL地址分享网页内容 2、转码服务:通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览:由于手机屏幕大小的关系，直接浏览网页内容的时候会造成许多不便，因此有些公司提供了转码功能，把网页内容通过相关手段转为适合手机屏幕浏览的样式。例如百度、腾讯、搜狗等公司都有提供在线转码服务。 3、在线翻译:通过URL地址翻译对应文本的内容。 ...

变量覆盖漏洞

发表于 2024-08-17 | 更新于 2025-02-09 | CTF | web姿势

记录网站：【CTF_Web：php中的变量覆盖问题 - CSDN App】http://t.csdnimg.cn/LAmY1 变量覆盖函数:parse_str() 、extract()、import_request_variables()1.什么是变量覆盖变量覆盖基本都来自于各种函数（parse_str() 、extract()、import_request_variables()等）对用户输入取值时的问题，当用户对已经存在的变量再次通过各种函数赋值时，将会触发变量覆盖，修改之前定义的值，这类问题需要严格定义用户可以输入的部分，或值避免使用存在此类问题的函数。 2.parse_str() 函数原型：parse_str(string,array)定义和用法：parse_str() 函数把查询字符串解析到变量中。如果未设置 array 参数，由该函数设置的变量将覆盖已存在的同名变量。 php.ini文件中的 magic_quotes_gpc设置影响该函数的输出。如果已启用，那么在 parse_str()解析之前，变量会被 addslashes()转换。例子： 3.extract()函 ...

Basectf比赛week1-wp

发表于 2024-08-15 | 更新于 2025-02-09 | CTF | 比赛wp

[TOC] MISC[Week1] 签到！DK 盾！关注公众号得到flag。 [Week1] Base考点：base编码下载附件得到一串base编码，解密得到flag。 [Week1] 正着看还是反着看呢？考点：文件逆序，文件分离附件压缩包解压发现一个名为flag的未知文件，用010editor打开发现文件逆序了使用脚本将文件顺序调换回来，得到一张jpg图片。用010editor打开，发现藏了一个隐藏文件flag。提取出来得到flag. [Week1] 海上遇到了鲨鱼考点：流量分析打开是个pcapng文件，用wireshark打开。检索关键词flag，用tcp流打开，查看流，最后找到flag。 [Week1] 人生苦短，我用Python考点：代码审计，搜索引擎打开程序，一段超长python代码 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465import ...

Moectf-week1-wp

发表于 2024-08-10 | 更新于 2024-12-02 | CTF | 比赛wp

[TOC] Miscsignin登录网站，是个签到的题，根据提示直接让luo缺勤，其他全补签就可以了。（我第一次的时候还专门给其他人缺勤了，真是个好老师了。）罗小黑战记考点：动态图片下载文件，是个116张图组成的动图，一帧一帧看，看到一个二维码，扫一扫出flag。杂项入门指北考点：摩斯密码这个下载后是群里的入门文件和海报，线索在海报上，仔细观察就能看到摩斯密码。（找了好久才看到）放进工具里解码。不知道哪里出了点小问题，多了个‘T1’，要删除前面的，删后面的不行（恼火） ez-F5考点：F5隐写下载文件，是一个jpg文件，根据题目可知，应该是F5隐写工具。在属性里找到备注信息是base64，解码后得到no_password，盲猜是F5的密码。使用工具拿到flag。 webWeb渗透测试与审计入门指北就用他给的文件搭建个环境，然后进网站就拿到flag。弗拉格之地的入口考点：爬虫管理关键词“爬虫”，马上想到/robots.txt。访问出flag。 ez_http考点：http基础考察http基础知识（不难但复杂）。打开网站，根据提示 ...

第四届山石ctf训练营结营（招新）赛wp

发表于 2024-08-09 | 更新于 2025-02-09 | CTF | 比赛wp

[TOC] 签到题根据提示关注公众号，发flag。 play4fun下载压缩包后打开flag.txt文件是一串0和1的码，直接解码出flag。 dog下载压缩包，解压发现是一条狗的图片。根据题目提示“狗狗的下巴呢?” ，猜测图片要修改高度，放进010editor里修改。最后看到图片里面的flag。 timestamp打开文件发现一个txt文件和压缩包，解压缩需要密码，使用要从txt文件入手。仔细查看txt文件，发现是空白格隐藏，需要用到工具SNOW。拿到密码后解压缩。发现文件大小等全部一样，只有修改时间不一样，这就想到时间戳了。使用获取时间戳的代码获取时间戳，发现后三位不一样，提取后三位出来。 ascll码进行解码，得到flag。

SSTI漏洞

发表于 2024-08-07 | 更新于 2025-05-18 | CTF | web姿势

SSTI漏洞：超详细SSTI模板注入漏洞原理讲解_ssti注入-CSDN博客：https://blog.csdn.net/qq_61955196/article/details/132237648 焚靖工具安装:https://blog.csdn.net/m0_73683234/article/details/136789243 判断方法：变量名=49 ＃如果正常回显，说明存在SSTI漏洞 python中的特殊属性：常用的解题payload: 1234567891011code={{config.__class__.__init__.globals__['os'].popen('ls').read()}}code={{lipsum.__globals__.__builtins__.__import__('os').popen('ls').read()}}code={{url_for._ ...

刷题2024.8.6

发表于 2024-08-06 | 更新于 2024-12-02 | CTF | web-wp

[TOC] 算力超群考点：抓包，eval()函数利用，漏洞利用打开发现是个计算器。一般碰到计算器就很容易和命令执行扯到一块。随便计算下然后抓个包发现是get方法，改参数让它报错。发现eval()函数。 python语言，用危险函数eval()进行运算。这里我们使用沙箱逃逸，执行命令反弹shell。 payload 1_calculate?number1=&operator=&number2=__import__('os').popen('cat /f*').read() 算力升级考点：python库，拼接绕过，漏洞利用打开，查看源码。 code是输入框提交的内容，下面这段代码是将code中由字母、数字、下划线组成的字符串取出 12pattern=re.compile(r'\w+')for item in pattern.findall(code): 如果取出的不是数字就判断是否为gmpy2库(高精度算术运算库)的函数名，如果最后都是就eval(code)代码执行那么我们可以看一下gmpy2库的 ...

刷题2024.7.29

发表于 2024-07-29 | 更新于 2024-12-02 | CTF | web-wp

[TOC] 化零为整考点：代码审计，url编码打开网站，分析代码其中就是把“大牛”二字用url编码后，分别传参就行。传说之下（雾）考点：控制台运行打开链接，是一个贪吃蛇游戏，根据提示，要得到2077分才能出现flag。调试器查看文件，发现本地变量是Game。在控制台输入Game，查看发现其中有个score变量，应该是存储分数的。输入Game.score=2077，然后开始游戏得一分即可出现flag。

flask中的session伪造

发表于 2024-07-29 | 更新于 2024-12-02 | CTF | web姿势

flask中的session伪造使用密钥SECRET_KEY 和经过解码原session篡改后的字典可以重新加密生成一个session。有一个开源脚本可以帮我们自动生成：https://github.com/noraj/flask-session-cookie-manager（kali机上已下载）现在流行两种方式登录认证方式：Session和JWT，无论是哪种方式其原理都是保存凭证：1.前端发起登录认证请求2.后端登录验证通过，返回给前端一个凭证3.前端发起新的请求时携带凭证只不过session的重点是会在服务端存储凭证；而JWT不会在服务端存储凭证，而是会将返回的凭证根据签名和加密方式来校验其是否被篡改。 session安全问题：flask框架的session是存储在客户端的，那么就需要解决session是否会被恶意纂改的问题，而flask通过一个secret_key，也就是密钥对数据进行签名来防止session被纂改，在我上面写的例子就定义有密钥（app.config[‘SECRET_KEY’] = ‘tanji_is_A_boy_Yooooooooooooooo ...

刷题2024.7.26

发表于 2024-07-26 | 更新于 2024-12-02 | CTF | web-wp

[TOC] 一言既出（笔记KEY：intval绕过）考点：弱类型比较，intval()函数，注释 123456789<?phphighlight_file(__FILE__); include "flag.php"; if (isset($_GET['num'])){ if ($_GET['num'] == 114514){ assert("intval($_GET[num])==1919810") or die("一言既出，驷马难追!"); echo $flag; } } 分析代码，传入num，要使num的值等于114514，经过intval()函数后要等于1919810。因此有两种思路： 1.让num的值同时满足这两个条件。比如可以构造num=114514+1919810-114514，传入时进行url编码。由于是弱类型比较，提取开头数字就等于114514，满足条件1，而经过int ...

刷题2024.7.25

发表于 2024-07-25 | 更新于 2024-12-02 | CTF | misc-wp

我吐了你随意0宽隐写，使用在线工具，将文本复制进去直接得到flag 迅疾响应二维码，先用toolfxs里的工具，发现扫不出来，然后用qrazybox在线工具解出。打不开的图片图片损坏，扔进010editor看看。发现png格式前缀不对，用工具里的求反，然后保存，图片就恢复正常了。

刷题2024.7.25

发表于 2024-07-25 | 更新于 2024-12-02 | CTF | web-wp

[TOC] web签到考点：代码审计，http请求先传Cookie,即 1CTFshow-QQ%E7%BE%A4:=a (中文要进行url编码) 接下来传post[‘a’]，即a=b 然后传get[‘b’]，即?b=c 最后的request，传GET或者POST方法都可以，即 1&c[6][0][7][5][8][0][9][4][4]=system('cat /f*'); web2 c0me_t0_s1gn考点：查看源代码，使用控制台我的眼里只有￥考点：代码审计，脚本利用 _=a,即$__=a,后面就是$a，$a=b,就变成$b，以此类推，用python脚本连续传参可解。抽老婆考点：查看源代码，代码审计，flask中的session构造打开链接，发现可以下载“老婆“。查看代码，发现一串下载的可以代码。（/download?file=a）用GET方法下载一个文件，发现不成功，页面跳转。发现”flag“，怀疑/app/ap ...