- 博客(12)
- 收藏
- 关注
RSS订阅原创 GHCTF2025_Web复现
因此有的出题者为了⽅便可能就不删除该⽂件,这时候就可以碰碰运⽓,看看出题者有没有把这个⽂件删掉。阅读源码,‘/’路由返回当前脚本的内容,‘/ghctf’路由接收通过post的方式提交的表单数据,其中xml是提交的XML字符串,使用lxml.etree解析XML数据并允许加载DTD和解析实体 (导致XML外部实体(xxe)注入漏洞),提取XML数据中的<name>标签的数据并返回。下载附件,得到源码,是一个模板的渲染,直接将输入的message进行拼接,但将‘{’和‘}’替换为空了,无法进行ssti注入。
2025-03-23 23:46:02
792
原创 BaseCTF2024复现_web_week4补充
JWT(JSON Web Token)是一种用于在网络应用中安全地传输信息地开放标准,通常用于用户身份验证和授权,JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature),每部分之间用点(.)进行分隔。载荷:存储了要传输的数据,JWT的载荷有三种类型——注册的声明(Reserved claims)、公共的声明(Public claims)和私有的声明(Private),且默认情况下JWT是加密的。但是在复现的时候这个题目的容器似乎有问题,进入靶场,其页面显示。
2025-03-09 21:04:27
851
原创 BaseCTF2024复现_web_week4部分
思路:利用merge函数的递归特性,通过构造恶意的JSON数据来污染instance对象,再根据/read目录里的file = open(__file__, encoding="utf-8").read(),利用__file__属性查看。是类:PHP 的标准库类之一,它提供了一个面向对象的方式来读取文件。1、merge函数:递归地将源字典src中的键值对合并到目标对象dst中(这种递归合并的方式可能会导致原型链污染)一个内置的类,用于迭代目录中的文件和子目录。那我们就先进行目录遍历,然后在去读取文件内容。
2025-03-02 21:58:09
376
原创 BaseCTF2024复现_web_week3
猜测$array在flag.php文件中定义,即其长度时固定的,可以先生成一个字典,然后通过bp对$_POST['len']的长度进行爆破,查看响应为“我不管,我要玩原神!阅读源码,首先以get的方式传入一个值并赋给变量$Jail,首先检查该变量是否为空,若不为空则将该变量作为函数Like_Jail的参数,并对函数的返回值进行判断。了解到,当php版本⼩于8时,GET请求的参数名含有.,会被转为_,但是如果参数名中有[,这个[会被直接转为_,但是后⾯如果有.,这个.就不会被转为_。
2025-02-24 10:45:59
1108
原创 ctfshow_web入门_反序列化_web254-web265
以get的方式传入username和password两个参数,其值为均为‘xxxxxx’,即可得到flag。
2024-12-24 00:20:03
863
原创 BaseCTF2024复现_web_misc_week2
(由48字节的随机数据转换成。对于第二个判断,它将传入的值,转换成了字符串,数组不再适用,但判断中第二个条件“md5((string)$apple) == md5((string)$banana))”是一个弱类型判断,传入两个经MD5加密后时0e开头且其后是数字的字符串即可。打开压缩包,发现flag.txt文件,但是被加密,下面还有密钥提示(“The_key_is_n0secr3t”),但与题目提示中的“压缩包密码为6位”(相冲)暂且不管(试了一下确实不是),进行压缩包爆破,将口令长度设为6位,开始爆破。
2024-12-15 21:57:43
1848
2
原创 ctfshow_web入门_命令执行_web29-web39
一、命令执行函数(能够执行操作系统命令行指令的函数)1、system():在 PHP 中,system()函数用于执行一个外部程序,并且可以显示输出结果。这个函数会返回最后一行的输出,或者在没有输出时返回null。2、passthru():在 PHP 中,passthru()函数用于执行一个外部程序,并且可以显示命令的原始输出。3、其他(没有回显的命令执行函数,需要echo输出)二、代码执行函数(能够执行代码片段的函数)eval():在 PHP 中,eval()
2024-11-28 01:05:30
1975
原创 ctfshow_web入门_爆破_web20-web28
题目给了个字典,应该是要用bp进行字典爆破,进入题目环境,要求登录用bp抓包,发现有一串base64编码解码发现是猜测为用户名加密码,而题目给的附件中并没有包含用户名,只需对密码进行爆破即可(1234的base64编码为:MTIzNA==)然后载入字典,有效载荷处理添加一个Base64-encode,勾除url编码开始攻击,得到一个状态码为200的结果,查看其响应,得到flag。
2024-11-22 23:41:39
789
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人