- 博客(110)
- 收藏
- 关注
RSS订阅原创 [rootme:ctf all the day]Ubuntu 8.04week wp
[rootme:ctf all the day] Ubuntu 8.04week wp
2025-06-28 20:02:02
880
原创 春秋云镜【CVE-2017-18349】fastjson wp
已经知道了,这里需要利用ldap协议远程下载恶意程序实现反弹shell,那么可以利用Jnid注入工具生成指定的payload,然后让目标机访问该payload也可以实现反弹shell(log4j2漏洞的利用手法)进入页面有一个输入框,通过输入123回显会发现提示非json格式,构造{123:123}输入发现回显了json数据,说明可能存在fastjson漏洞。发现dnslog网站有回显了,说明该json数据被解析执行了,存在fastjson序列化漏洞。工具放在附件中,具体使用方法可以通过-h参数进行查看。
2025-06-23 23:28:13
828
原创 【攻防世界】 catcat-new writeup
攻防世界 catcat-new writeup,通过flask框架的文件结构获取有用信息,文件包含获取需要的内容,利用flask_session伪造拿到flag
2025-05-26 03:41:15
951
原创 CTFHUB RCE作业
注意:%09是在url框中修改的,而不是直接在输入框中输入,因为这是url编码,如果在ip输入框中输入会进行二次url编码,%09为tab键的url编码,无法直接输入。构造payload:ip=127.0.0.1%0acd%09fl\ag_is_here%0atac%09fla\g_210412363721473.php#首先到flag_is_here文件目录下,然后读取flag_8317178653643.php文件内容。构造payload:127.0.0.1|ls flag_is_here。
2024-04-17 00:51:32
810
原创 业务逻辑之业务安全
权限安全 未授权访问 会话漏洞 复制登录状态下的某一功能链接,再其他浏览器或用户直接访问看是否能进入登录状态界面 正常会弹出请登录界面,校验身份;如果直接进入控制台则表明存在未授权访问漏洞 存储不安全问题 服务器端的数据不安全存储,就是用户不需要身份验证就能直接访问一些敏感信息,如他人的支付订单,银行卡信息等 越权 水平越权 同权限账号之间的信息访问(只针对私人数据) 查找是否有id等表示身份信息的参数,进行修改看是否
2024-04-08 08:20:04
542
原创 MSsql数据库 sql注入
和mysql不同;每个数据库都有自己的信息总结表 四个系统数据库 master sysdatabases :所有数据库信息 name :所有数据库名 sysobjects :数据库所有对象的信息 syscolumns :字段信息 固定字段名 name 对象名 id 对象id xtype 对象类型代码 xtype='U' 用户创建的表 xtype='S' 系统表 model sysobjects syscol
2024-04-08 08:14:01
1190
原创 Access数据库
access是没有数据库的;只有表 流程 判断数据库类型--->判断表名----> 判断列名---->判断列名长度(列中第一条记录数据长度)---->读取数据 asp网站常用数据库:access和mssql数据库 判断数据库 如果有msysobjects则是access数据库;如果有sysobjects则是sqlsever数据库 and exists (select * from msysobjects)>0 access and exists (select
2024-04-08 08:13:15
464
原创 wife_wife【web 攻防世界】
这题可太整人了,普通账号进入后,我还以为图片中会有一些信息呢,做了半天的杂项发现图片就真的是图片呀,扫了一下上面的那张小图nilou1.jpg,发现竟然是个jphide加密的,欸,难道有什么隐藏的信息?搞了半天找不到密码,无法进行解码,看了大佬的wp才发现我是彻底被作者给打败了,思路被诱导了,原来是要绕过isAdmin检测,即使知道了也不会,基础太差了,原链污染的概念也是第一次听,总的来说还是有所收获的,一边被虐一边学习,痛并快乐着。成功注册了账号,这里直接登进去就拿到flag了。用一张图来表达我的心情。
2024-04-03 01:05:36
964
原创 Catcatcat【杂项 攻防世界】
这里我利用工具对jpg文件扫描了个遍,一点有用信息都没有,txt文本也是,里面内容不知道是干嘛的,一开始我还以为是base64编码的,解码出来发现是一堆乱码,cpu给干烧了。解出来的数据还是我看不懂的存在,看完大佬的wp发现是base91编码。注意题目要求,解码出来的格式是不对的,CatCTF{}才是正确的格式。根据txt文档信息,开头是U2F,而且也提示了兔子,是一个兔子加密。好了,这回能看懂一点了,解码出来的数据好像是ook编码,接着解码。到这里就真的结束了,这题太有价值了,又是学到新知识的一天。
2024-04-02 21:40:10
662
原创 面具下的flag【杂项】
最累的是找解码平台,brainfunk还好,ook解码平台跟绝版了似的,其他大佬用的平台不知道咋回事,中间的解码操作没了,又得重新找,找了将近半个小时也没找到一个,bugku的那个解不出来,老是提示格式错误,服了,就在快放弃的时候突然蹦出来一个,直接给我解出来了,真是柳暗花明又一村啊。到这里我就不会了,zip中就是flag.vmdk文件,flag.vmdk是linux中的硬件配置文件,但是不知道如何使用,搜了一下发现vmdk文件是可以进行解压的。结束了,这个作者脑洞是真的大,同样,解码平台是真的难找。
2024-04-02 13:21:09
1947
原创 随便注【强网杯2019】
mysql专属,可替代select部分功能这道题中的表名必须用 反引号进行包裹;如`words` `123456`;要不然不识别解题方法使用handler函数进行操作;这里是bp抓包中的payload,所有空格都用+代替了,而且相关特殊符号也用url编码了%23通过修改表名和字段名进行绕过先把表名和字段名修改为界面能显示的字段数据,然后再让界面输出所有数据%23这种方法没做源码如下:(本题无提示,源码自己找的)通过观察源码发现有两层waf。
2024-03-31 21:24:00
895
原创 BabySQL【2019极客大挑战】
构造payload:username=3'+||+extractvalue(1,concat(0x7e,mimidd((seselectlect+group_concat(username,':',passwoorrd)+frfromom+b4bsql)+,181,30),0x7e))=1--+发现返回了完整的错误提示,一开始没明白是什么意思,更换payload测了几次后才发觉or应该被过滤了,尝试了or 'a'='a'--+ or '1'='1' --+;既然能成功注入了,又获得了完整的错误提示。
2024-03-28 00:22:57
1272
原创 如何创建一个谷歌账户
进入时间和语言面板后,选择左侧的语言栏,在语言栏的面板可以看到windows显示语言和首选语言;正常情况下是只有简体中文的语言包的,所以我们需要点击添加语言,然后选择对应的语言包;最好先用浏览器进行注册尝试,保证浏览器有注册账户的记录,因为系统语言修改之后好像没法直接输入中文了;这里我没有那个手机号验证的截图了,因为注册成功一次后好像就不需要手机号验证了,后面需要填写一个邮箱的验证地址,方便之后账号出现问题了有个反馈的地址。如果不把系统语言和代理ip对应地区语言设置一致的话会一致卡在手机号验证的界面;
2024-03-20 18:28:58
932
原创 sql-bypass通关笔记(作业)
构造payload:id=0%27%09uniounionn%09%20select%091,2,3,(select%09(hex(group_concat(column_name)))%09frfromom%09infoorrmation_schema.columns%09where%09table_schema%20like%20%27dvwa%27%09%26%26%09table_name%20like%20%27ususerers%27%20%20),version(),6,7,8%20--+
2024-03-19 20:37:38
1175
原创 sqllab第四十七关通关笔记
构造payload:sort=2'and extractvalue(1,concat(0x7e,database(),0x7e))='1。构造payload:sort=2'' 不提示报错了。构造payload:sort=2' 报错了。这里其实and后面的没起到作用,整体也没作用感觉,内容顺序没变过。构造payload:sort=2'and 1='1。通过测试发现是一个字符型注入。说明这里存在字符型注入。成功获取到了数据库名。
2024-03-18 01:37:47
410
原创 sqllab第四十六关通关笔记
构造payload:sort=0%20and%20extractvalue(1,concat(0x7e,database(),0x7e))#通过测试发现原始语句为 select 1,2,3 from 表名 order by sort。发现页面正常输出,这就怪了,为啥会这样呢?构造sort=1,2,3,4(分别输入),测试处只有三个字段。成功回显出了数据库名,同理可以获取数据库其他信息。通过单引号输入发现页面打印出了完整的错误信息。只有三个字段,输入的信息作为排序的字段。尝试使用其他的错误函数。
2024-03-18 01:20:56
357
原创 sqllab第三十四关通关笔记
构造payload:username=1%df'or+extractvalue(1,concat(0x7e,database(),0x7e))=1--+构造payload:username=1%df'union+select+database(),version()--+构造payload:username=1%df'union+select+1,2--+构造payload:username=1%df'or+1=1--+成功获取了数据库名和版本信息,同样手段可以获取数据库其他内容。成功获取了数据库名;
2024-03-17 18:18:30
624
原创 sqllab第二十八关通关笔记(附带28a)
构造payload:id=0%27)union%09all%09select%091,database(),3%09=(%271。重新构造payload:id=0%27)union%09all%09select%091,2,3%09and1=(%271。构造payload:id=-1%27)union%09all%09select%091,2,3%09and1=(%271。页面成功回显了,但是内容不是输入信息,应该是他把-1进行绝对值处理了,导致显示了id=1的内容。好,尝试进行错误注入。
2024-03-17 15:41:51
424
原创 sqllab第二十七A关通关笔记
构造payload:id=0"%09uNion%09SElect%091,database(),version()%09"1。构造payload:id=0"%09uNion%09SElect%091,2,3%09"1。构造payload:id=1"%09and%091="1。经过测试发现这是一个双引号闭合。成功获取了数据库名和版本信息。页面成功回显除了输入内容。获取数据库名和版本信息。
2024-03-17 14:51:12
361
原创 sqllab第二十七关通关笔记
构造payload:id=1'%09and%09extractvalue(1,concat(0x7e,database(),0x7e))='1。构造payload:id=1'%09and%09exp(710)='1。经过不断的测试发现空格和+被过滤了,发现%09可以代替空格绕过检测。构造payload:id=1'%09and%091='1。页面给出了提示,联合查询关键字被过滤了,直接使用错误注入。页面成功回显出了相关信息,说明绕过成功。构造payload:id=1''成功获取到了数据库名;
2024-03-17 13:50:25
531
原创 sqllab第二十六A关通关笔记
构造payload:id=0'||if((mid(database(),1,1)='a')1,0)='1。将正确页面中的信息放到过滤条件中,然后按照payload1进行排序得到了正确的数据库名。标记对应的标志位,然后设置payload1和payload2,模式和之前的关卡一样。利用布尔注入只能够获取一些基本的数据,如数据库名、版本号、路径、用户等信息。构造payload:id=0'||if(1,1,0)='1。发现可以执行,说明这里可以进行bool盲注。得到对应的爆破数据,对爆破数据进行过滤。
2024-03-17 00:48:17
360
原创 sqllab第二十六关通关笔记
构造payload:id='||extractvalue(1,concat(0x7e,database(),0x7e))='1。发现不行,报错了,换成其他的也不行(%0a %09 %0b %0c %0d %a0)想了半天没结果,不用空格的话没办法执行语句;看了别人的wp发现可以用||进行绕过。构造payload:id=’||exp(710)='1。好了,既然能够绕过入门规则了,下面就要开始获取数据了。构造payload:id=1'+oorr+1='1。构造payload:id='||1='1。
2024-03-16 23:50:46
492
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人