y0ungsheep-CSDN博客

原创主机信息收集命令总结

主机信息收集命令汇总,包括本地用户/用户组信息,域内用户/用户组信息,操作系统信息,系统进程信息,计划任务信息,自启动任务信息等

2025-01-24 12:59:39 284

原创 CTF-字符长度限制RCE(命令执行)

以 [UUCTF 2022 新生赛]ezrce 演示6字符限制RCElinux中，重定向符>/>>具有创建文件的功能linux中*可作为通配符使用，在终端输入*后，linux会将该目录下第一个文件名作为命令，剩下的的文件名当作参数

2025-01-16 17:50:04 710

原创 [SWPUCTF 2022 新生赛]Ez_upload 详细题解

html目录没有flag文件,根目录有一个flag文件,但是里面没有flag一般flag文件都会放在根目录下,或者当前目录,又或者藏在phpinfo()页面和环境变量中在蚁剑中就可以查看环境变量,鼠标右键打开虚拟终端,在bash中输入env即可查看得到flag

2024-12-04 16:38:11 1127

本文是 2024 第六届金盾信安杯 Web 部分题目的解题思路fillllll_put：利用 php://filter 伪协议配合 base64 加解密绕过 exit () 死亡函数，构造一句话木马，通过在木马前添加字符使 exit () 函数失效，成功写入文件，连接蚁剑找到 flag。hoverfly：存在漏洞可命令执行和任意文件读取,通过执行 ls 命令回显文件信息，再用 grep -r 命令遍历目录找到 flagssrf：测试发现可访问外部网站，利用反斜线分隔 file:// 绕过协议过滤读取本

2024-12-03 10:24:21 2005

原创 [网鼎杯 2020 朱雀组]phpweb 详细题解(反序列化绕过命令执行)

观察代码发现Test类还没有用到,对于Test类,代码中没有调用的操作,作用是赋值$func 和 $p 的值并且调用gettime()函数注意类中的__destruct()函数,如果利用unserialize()函数反序列化一个Test类,在类里的参数中写入要执行的代码和函数,此时$disable_fun不会匹配unserialize函数,就会执行gettime函数,调用call_user_func($func, $p);执行反序列化操作 __destruct()函数会在反序列化函数执行完之后触发

2024-11-26 14:48:49 2051

原创 [CISCN 2019初赛]Love Math 详细题解

base_convert(37907361743,10,36) 将十进制数 37907361743 转换为三十六进制,在三十六进制中,数字超过 9 后会使用字母 A-Z 表示 10 到 35。可以看到这样执行命令是没有问题的,这里题目是PHP7的环境, $_GET[a]两边的()可以不加,但是在PHP5中不能有这对括号。目的是命令执行,但是前提是。

2024-11-21 17:13:23 3136

原创 [第五空间 2021]pklovecloud 详细题解

这里代码中并没有出现过$heat 参数,最开始 include 'flag.php'; 包含了flag.php文件,$heat可能是在这里定义的,但是并不重要,因为在所有类中都没有出现过$heat,那么$heat的值就是NULL因为类中的属性和类外面的属性值是没关系的用两个php文件演示一下,这里没有给属性docker赋值,但是满足了 $this->docker === $heat 说明这里是NULL === NULL $heat不是外面的123456 而是NULL

2024-11-20 17:13:59 1228

原创 [HCTF 2018]Warmup 详细题解

$_REQUEST 可以接收 GET POST COOKIE 传入的参数需要存在file参数是字符串类型,并且经过emmm类中的checkFile方法返回true,才能执行include函数进行文件包含这里没有创建emmm类的实例就可以引用其中的方法,是因为类中static表示是一个静态方法，可以通过类名直接调用，而不需要创建类的实例目标明确之后开始看emmm类中的代码,类中也只有一个checkFile 方法,所以很简单

2024-11-16 22:09:58 1757

原创 [NSSCTF Round#16 Basic]了解过PHP特性吗详细题解

如果传入的字符串中含有字母,那么is_numeric()函数就会返回false,例如a123 1a23 123a所以参数is_num需要满足纯数字,ctype满足纯字母,然后满足md5加密后的弱比较这里数组绕过是不合适的,因为strrev()函数需要字符串类型,传入数组类型会报错所以找到纯数字和纯字母md5加密之后前两位为0e 的值,就会被认为是科学计数法,表示的是0*10的n次方,还是零

2024-11-13 18:25:32 1241

原创 MYSQL中的两种转义操作

在 MySQL 中，转义字符用于处理特殊字符,以防止语法错误或 SQL 注入攻击,而单双引号都是需要重点注意的字符。

2024-11-10 19:35:06 2332

原创 [FBCTF 2019]rceservice 详细题解

如果在字符串最末尾的 } 之前加上一个%0a {%0a"cmd":"/bin/cat /home/rceservice/flag"%0a}此时 \x00-\x1F 匹配了第一个%0a 但是最后的.* 不能匹配换行符,也匹配不到换行后的 }所以不能遍历完整字符串,返回值为空,完成正则绕过//而在单行模式下$ 似乎会忽略在句尾的 %0a 所以如果%0a 添加在字符串最后的} 的后面的话依然会被匹配构造?

2024-11-09 10:36:36 1938

原创 [SWPUCTF 2022 新生赛]Power! 反序列化详细题解

进行对象的反序列化时，如果一个类(称其为A类)中包含另一个类的对象作为属性（假设这个类为B类），那么反序列化的顺序通常遵循以下原则：先反序列化内部对象：首先会尝试反序列化B类对象。这是因为为了完整地恢复A类对象的状态，需要先确保所有它引用的对象已经被正确地创建并初始化。然后反序列化外部对象：一旦B类对象成功反序列化，接下来就是反序列化A类对象本身的数据，包括其自身的属性值以及对已经反序列化的B类对象的引用

2024-11-07 18:38:56 1678

原创 [安洵杯 2019]easy_web 详细题解

尝试按照题目中的格式,对一个文件进行16进制转换,然后再进行两次base64编码传给img参数把index.php 按照上述操作编码得到结果 TmprMlpUWTBOalUzT0RKbE56QTJPRGN3传给img参数之后查看源码,复制图片对应的base64编码值,解码得到index.php源码

2024-11-06 19:32:26 1132

原创 CTF中的phar反序列化 [SWPU 2018]SimplePHP

file_exists和file_get_contents以及其他一些文件系统函数在通过phar://伪协议解析phar文件时,都会将其中的meta-data进行反序列化,即可不需要unserialize函数u也能完成反序列化操作所以如果可以构造phar文件上传,然后查看文件时的参数file传入phar伪协议,就可以触发并执行反序列化,这就是本题的解题思路

2024-11-05 10:35:11 1393

原创 BurpSuite(含中文版本)详细安装注册和配置教程

不同版本的Burpsuite 支持的JDK环境是不同的,例如之前我用的是burpsuite v2.1 支持JDK8环境,但是高版本的JDK版本是不支持的,会打不开工具同样如果用JDK8这种较低的版本来启动burpsuite v2021 或者更高的版本是启动不了的,连界面都进不去下面图片中看到注册机上面也给出了提醒,v2021版本或者其他更加新的版本需要java9以上,或者是更高这里推荐JDK11版本,稳定好用,电脑里可以同时存在多个JDK版本,是不冲突的,所以多下载几个版本也没什么影响

2024-11-04 09:15:32 2285

原创 Windows实用工具推荐(uTools+截图工具Snipaste)

使用utools可以呼出菜单然后快捷启动软件,不需要回到桌面然后再双击软件打开,例如打开微信支持拼音检索,甚至不需要输入完整的名字,只需要输入weix 就能自动检测到微信,然后回车直接就可以打开不过有个别软件可能检索不到,或者一些工具没有桌面快捷方式,需要去文件夹才能打开,例如burpsuite需要先打开注册机程序再启动软件 ,又或者一些小工具需要在其目录路径下的cmd中执行操作,可以手动添加这些自己常用的软件所在文件夹的路径,就可以用utools 一步到位打开了

2024-11-03 11:15:51 783

原创 [UUCTF 2022 新生赛]ezpop 详细题解(字符串逃逸)

1834对应了262个loveuu! 后面一直到6MzoiY21kIjtzOjEzOiJzeXN0ZW0oImxzIik7Ijt9fX0=";s:2:"ob";N;} 此时一切都是正常的,反序列化函数看到;} 就当作结束符号,后面的都会忽略掉,此时最后面的key basedata都会无效,有效的就是前面构造的key和basedata,完成字符串逃逸,反序列化之后即可正常执行eval()函数

2024-11-02 20:05:22 1683

原创多个JDK版本之间的切换

首先电脑上可以同时安装多个版本的 JDK（Java Development Kit),因为不同的应用程序可能需要不同 Java 版本的支持,安装多个 JDK 版本并不会导致冲突，只要设置好即可,在不同的情况下切换不同的jdk版本保证程序正常工作很多程序jdk8 已经不支持,所以下载更高版本的jdk是很有必要的,拥有多个JDK版本也就更加方便,可以根据不同的场景切换不同的JDK版本保证正常工作,下面就是jdk版本切换的方法

2024-11-02 11:11:01 1562

原创 [NSSCTF 2nd]php签到详细题解

所以当传入例如 1.php. 的文件时,结果就是空字符串,因为最后一个点后面没有数据,可以利用这一点绕过题目环境是Apache/2.4.25 (Debian)在Linux系统下1.php.是一个合法的文件名,系统不会像windows系统自动把最后的点去掉然后把文件当成php文件执行，虽然可以绕过waf()函数,但是不会被当作php文件执行,所以点绕过在这里是不可行的如果把1.php. 换成 1.php/. 也可以绕过waf()函数,然后经过file_put_contents()函数会被解析

2024-10-28 21:51:43 836

原创 [GXYCTF 2019]Ping Ping Ping 题解(多种解题方式)

知识点:命令执行linux空格绕过反引号绕过变量绕过 base64编码绕过

2024-10-27 22:16:09 2055

原创 CTF杂项-[鹏城杯 2022]Misc_water题解(附爆破图片宽高脚本)

CTF杂项-[鹏城杯 2022]Misc_water题解知识点:提取盲水印修复图片格式脚本爆破图片宽高

2024-10-26 21:05:12 643

原创 sqlmap使用教程(包含POST型注入方式)

检测注入点以及可注入类型sqlmap -u "网址" --batch -–batch(不再询问,默认执行)查看所有数据库 --dbssqlmap -u "网址" --batch --dbs查看当前使用的数据库 --current-dbsqlmap -u "网址" --batch --current-db查看表名sqlmap -u "网址" -D security --tables --batch-D 指定数据库 --tables 列举所有表名....

2024-10-25 22:06:44 9466

原创详解PHP正则表达式中的转义操作

在 PHP 正则表达式中，有许多特殊字符具有特定的意义。这些特殊字符通常用于定义匹配模式的一部分，或者改变匹配的行为.比如，如果希望匹配一个"*"字符的字面意思，就需要在模式中写为 "\*",表示匹配的是*星号本身,而不是它的特殊含义,如果要匹配 \ 反斜线本身,也需要一个转义符转义也就是"\\" 同时反斜线在 PHP 字符串中也有特殊含义,因此也需要反斜线 \进行转义，最后要写成 "\\\\" 下面就探究一下PHP字符串和正则表达式中的转义操作

2024-10-24 12:31:49 1921