梦~醒🍇

刷题2024.10.28

发表于 2024-10-28 | 更新于 2024-12-02 | CTF | web-wp

[TOC] 整数型注入看到源码了，直接sql一套秒了字符型注入 SQL 报错注入构造payload 1 and (select extractvalue(1,concat(‘~’,(select database())))) 后续步骤跟sql基本步骤一样 SQL 布尔注入人工测试太麻烦，这里直接使用sqlmap,知道这有sql注入漏洞，就省去扫描步骤了。先查看当前数据库 –sqli 1sqlmap -u 'http://challenge-3fe138f1ff2d9eae.sandbox.ctfhub.com:10800/?id=2' -batch --current-db 再查看表 1sqlmap -u 'http://challenge-3fe138f1ff2d9eae.sandbox.ctfhub.com:10800/?id=2' -batch -D 'sqli' --tables 查看flag表中的字段 1sqlmap -u 'http://challenge ...

sqlmap使用方法

发表于 2024-10-28 | 更新于 2024-12-02 | CTF | web姿势

SQLmap一、目标1、指定url2、指定文件（批量检测）3、指定数据库/表/字段4、post请求5、cookie注入二、脱库1、获取数据库2、获取表3、获取字段4、获取字段类型5、获取值（数据）6、获取用户7、获取主机名8、搜索库、表、字段。9、正在执行的SQL语句三、WAF绕过三、其他SQLmap是一款「自动化」SQL注入工具，kali自带。路径 /usr/share/sqlmap 打开终端，输入sqlmap，出现以下界面，就说明SQLmap「可用」。本篇文章使用本地搭建的SQL-labs靶场作为「演示」目标，其他目标可使用必应搜索以下类型的网站： inurl:news.asp?id=site:edu.cninurl:news.php?id= site:edu.cninurl:news.aspx?id=site:edu.cn 快速入门；SQLmap（常规）使用步骤 1、检测「注入点」 sqlmap -u ‘http://xx/?id=1‘ 2、查看所有「数据库」 sqlmap -u ‘http:/ ...

刷题2024.10.26

发表于 2024-10-26 | 更新于 2024-12-02 | CTF | web-wp

[TOC] 来源：CTFHUB SVN泄露扫描一下目录，发现有/svn，所以是svn泄露使用工具dvcs-ripper将泄露的文件下载到本地目录中先用 ls -al 查看，再转到.svn文件夹中查看下载的文件。根据题目可知，在旧版服务器，所以访问pristime文件夹，在其中找到了flag ctfhub{4e0bf99268e971a228b50696} HG泄露先扫描目录，发现.hg文件，所以是hg文件泄露将文件下载到本地查看内容打开看到的.txt文件，发现添加了flag 使用正则表达式匹配flag grep -a -r flag 发现一个.txt文件名路径，打开发现flag http://challenge-f5d5a98ec092b9ff.sandbox.ctfhub.com:10800/flag_2461926440.txt ctfhub{28354671de5448e69f93511c} 弱口令进行爆破，选择集束炸弹 ctfhub{922a54553d59ecd2280 ...

php伪协议

发表于 2024-10-22 | 更新于 2025-04-19 | CTF | web姿势

[TOC] php://伪协议是php提供的一些输入输出流访问功能，允许访问php的输入输出流，标准输入输出和错误描述符，内存中，磁盘备份的临时文件流，以及可以操作其他读取和写入文件的过滤器。首先看到题目提示传个file，遂/?file=…一个随意参数，而后得到源代码 123456789101112131415161718<?phpini_set("allow_url_include","on");header("Content-type: text/html; charset=utf-8");error_reporting(0);$file=$_GET['file'];if(isset($file)){ show_source(__FILE__); echo 'flag 在flag.php中';}else{ echo "传入一个file试试";}echo &qu ...

SCTF-2024-wp

发表于 2024-10-20 | 更新于 2025-02-09 | CTF | 比赛wp

FixIt 考点：css代码附件之中是一串css代码，编写html代码运行即可这里发个模板，填充即可 12345678910111213141516171819202122232425262728<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Pixel</title> <style> .pixel-wrap { width: 170px; height: 170px; } .pixel { width: 1px ...

刷题2024.10.19

发表于 2024-10-19 | 更新于 2024-12-02 | CTF | web-wp

[TOC] [MoeCTF 2021]babyRCE 考点：关键词过滤来源：nssctf 123456789101112 <?php$rce = $_GET['rce'];if (isset($rce)) { if (!preg_match("/cat|more|less|head|tac|tail|nl|od|vi|vim|sort|flag| |\;|[0-9]|\*|\`|\%|\>|\<|\'|\"/i", $rce)) { system($rce); }else { echo "hhhhhhacker!!!"."\n"; }} else { highlight_file(__FILE__);} 先用ls查看构造payload： 1?rce=ca\t${IFS}fl\ag.php 注意：1.有 ...

SHCTF-2024-week2-wp

发表于 2024-10-19 | 更新于 2025-02-09 | CTF | 比赛wp

[TOC] web[Week2]自助查询考点：sql注入看到查询语句,直接sql注入说明只有两列查看当前数据库查看’ctf’数据库下面的表查看’flag’下的字段查看’scretddata’的内容根据提示，说明在注释里面找到flag SHCTF{5elf_s3RvICe_SEARch_334c747eabdf} [Week2]登录验证考点：jwt密钥爆破爆破密码，是admin 抓包查看,发现有token 进行jwt密钥爆破，得到密钥为222333 使用密钥加密，把role改成admin，然后替换token发包就能拿到flag [Week2]入侵者禁入考点：session伪造+SSTI模板注入分析这段代码，知道Flask的secret.key，想到Flask_session伪造 render_template_string()函数想到SSTI漏洞。使用flask_session_cookie_manager工具构造payload 1234567python flask_ses ...

SHCTF 2024 week1 wp

发表于 2024-10-13 | 更新于 2025-02-09 | CTF | 比赛wp

[TOC] Misc[Week1]真真假假?遮遮掩掩! 考点：压缩包伪加密，掩码爆破下载附件有一个压缩包，打开发现需要密码，放进010查看伪加密，直接修改根据提示，想到是掩码爆破 SHCTF{C0ngr@tu1at1ons_On_Mast3r1ng_mAsk_aTT@ck5!} [Week1]拜师之旅① 考点：损坏文件，png隐写下载压缩包解压，有个损坏的图片，放进010查看缺少png文件头部，补上复原修改高度，得到flag [Week1]Rasterizing Traffic 考点：流量分析，光栅图解析经过分析，发现png图片，直接查看或导出来（显示分组字节或导出分组字节流）光栅图，使用工具AabyssZG/Raster-Terminator: CTF之光栅图秒杀器 (github.com) 下载下来后需要将第75行的三维数组改为二维，这题才能用输入命令 python Raster-Terminator.py -x 1.png 得到光栅图，连在一起就是flag。 [Week ...

文件上传绕过

发表于 2024-09-29 | 更新于 2025-02-09 | CTF | web姿势

1.文件头检查绕过这类题进行文件头检查一般是检查concent-type的内容，需要修改成允许的文件类型就行,如 image/jpg然后一句话木马前还要加上对应文件类型的前缀，如GIF89a做这类题时可以先找到允许的文件类型，然后放进010editor看看标识符，然后修改 MIME及绕过1. 什么是MIME： MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。 2. 常见的MIME类型: text/plain （纯文本） text/html （HTML文档） text/javascript （js代码） application/xhtml+xml （XHTML文档） image/gif （GIF图像） image/jpeg （JPEG图像） image/png （PNG图像） video ...

kali中metasploit使用

发表于 2024-09-29 | 更新于 2024-12-02 | web渗透 | 工具使用

kali中metasploit使用 shell命令会开启目标机的cmd控制台，打开了这个就相当于可以执行任何命令。打进去后，进行远程桌面连接的注意事项： 1.创建用户：net user username password /add 2.赋予用户管理员权限：net localgroup group_name UserLoginName /add 3.没有赋予管理员权限远程桌面连接是会失败的。 4.win7不能同时登陆一个账户，比如目标机登录了一个账户，攻击者在进行远程登录桌面时会把目标机顶下去。一些注意事项： 1.run后报错Host does NOT appear vulnerable.：说明靶机打了补丁的，修复了永恒之蓝漏洞（补丁：KB4474419），删除就可以了。 2.run getgui -e报错：换成 run post/windows/manage/enable_rdp即可

刷题2024.9.26

发表于 2024-09-26 | 更新于 2024-12-02 | CTF | web-wp

[TOC] ps:源自CTFhub 基础认证：在HTTP中，基本认证（英语：Basic access authentication）是允许http用户代理（如：网页浏览器）在请求时，提供用户名和密码的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证考点：http基础认证，脚本编写，爆破访问 /flag 发现需要登录挂上 BurpSuite 的代理，随便输个账号密码（比如: 账号aaa 密码 bbb）访问，查看 HTTP 响应报文：得到提示 do u konw admin ?，于是猜测账号是 admin , 那么接下来就只需要爆破密码了注意看到 HTTP 请求头部的 Authorization 字段: 1Authorization: Basic YWFhOmJiYg== Basic 表示是「基础认证」, 后面的 YWFhOmJiYg== 用 base64 解码后是 aaa:bbb , 也就是我们之前输入的账号:密码使用 BurpSuite 进行基础认证爆破将报文发送到 Intruder ...

账户密码登录爆破实例

发表于 2024-09-26 | 更新于 2024-12-02 | CTF | web姿势

基础认证：在HTTP中，基本认证（英语：Basic access authentication）是允许http用户代理（如：网页浏览器）在请求时，提供用户名和密码的一种方式。考点：http基础认证，脚本编写，爆破访问 /flag 发现需要登录挂上 BurpSuite 的代理，随便输个账号密码（比如: 账号aaa 密码 bbb）访问，查看 HTTP 响应报文：得到提示 do u konw admin ?，于是猜测账号是 admin , 那么接下来就只需要爆破密码了注意看到 HTTP 请求头部的 Authorization 字段: 1Authorization: Basic YWFhOmJiYg== Basic 表示是「基础认证」, 后面的 YWFhOmJiYg== 用 base64 解码后是 aaa:bbb , 也就是我们之前输入的账号:密码使用 BurpSuite 进行基础认证爆破将报文发送到 Intruder, 将 Basic 后面 base64 部分添加为 payload position 在 Payloads 选项卡下，选择 ...