拿到题吧,一般的我的操作就是,先看看审核元素有有没有什么东西,然后去御剑扫描,git泄露,备份文件泄露,不行就再去burp抓包看看头部,换方法(post换成get) 发现不明的头部,这种头部的话可能是吧他放到请求的头里面,但是这道题是一个参数.然后试一下参数,是get方法的参数 说这个参数错误然后是下其他的 参数过长,我觉得有注入,于是构造'or 1%23 还是说过长,于是乎发现了一种新的姿势 ""%1,""*1,''=0  都为真,这里过滤了# 所以还是用%23好

进入网站,查看源代码,发现是用vim编辑,而抓包没有有效信息,加参数也无果.百度查了一下vim能形成什么文件.找到答案说,用vim编辑文本xxx.php中途退出,会自动创建一个文件.xxx.php.swp.然后我们下载这个文件. 用 vim -r 命令恢复文件,得到源码: <html><head><title>blind cmd exec</title><meta language='utf-8' editor='vim'></head&g

查看源码,有提示,index.php.txt  ,  进入得到文本. 不太看得懂,后来百度,大致就是,flag1=.......&flag2=......&flag3=...... ,传给index.php. 得到下一步,1chunqiu.zip.下载下来,查看源码. 可能知识太少,没看出什么,参考一下大佬的答案后,得知利用两个地方可以构造注入: addslashes()这个函数,能使%00转义为\0,而trim()函数又消除username与number相同的字符串. 构造:number

1. 打开链接,提示 show me key,抓包,传值key=1,GET请求没有用,而POST请求有返回. 2.将md5值直接拿去解密,得到key=ichunqiu105    OK,进入下一步. 3.得到提示, 拿到x0.txt的源代码:发现正好是解密函数. 4.本地搭建环境,进行解密,代码如下: <?php function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) { $ckey_length = 4

首先一看的题,既然是是web类的,就要查看源码,一看,最先有一行注释,估摸着是用户名和密码 果然登录上去了,显示一段乱码,源码也没有什么东西, 那就抓一次包吧 发现响应头里边有个show:0的响应,而请求头没有,所以构造一个show:1 出现memeter.php的源文件 加了三层密,解密 出现一段base64,再看源文件,发现是cookie里边的token 直接在请求头里边添加上去 得到flag 总结:里边有两点需要注意,一是看到响应头里边有show,要很容易想到要在请求头里边添加个show

目录 漏洞利用原理 具体利用步骤 漏洞利用原理 read(, &s, 0x20uLL); if ( strstr(&s, "%p") || strstr(&s, "$p") )//只判断字符串中是不是有地址格式字符p { puts("do you want to leak info?"); exit(); } printf(&s, "$p");//没有的话,就能利用格式化字符串漏洞了 漏洞利用步

学习了大佬们的操作才做出来,记录一次菜鸡的无能为力. tips:flag在网站根目录下的flag.php中.我们的目标就是flag.php了. 题目说是心的CMS:YeserCMS,然而百度一下,出来该题的wp之外,并没有这个CMS.可能是把原来的CMS改名了,在网站中找看看有没有什么线索,最后发现有cmseasy的标识: 于是百度寻找cmseasy的漏洞,最终确认:http://www.anquan.us/static/bugs/wooyun-2015-0137013.html https:/

提示很明显,flag在flag.php中,所以,任务就是获取flag.php的内容. 方法一:一句话+菜刀(不再叙述) 方法二:上传脚本,使脚本拥有一定权限,再输出flag 先造一个php脚本 <script language="PHP"> echo((file_get_contents('flag.'.'p'.'h'.'p'))); </script> 访问结果为空白,源码也没有什么东西. 原因是php脚本上传在了一个没有执行权限的文件夹下或是没找到flag.

目录 程序基本信息 程序溢出点 整体思路 exp脚本 成功获得flag 参考 程序基本信息 可以看到开启了栈不可执行和got表不可写保护. 程序溢出点 在函数sub_400AF7中,v8可以读入0x12C个字节,同时if判断中对v8进行字节截断,所以我们可以输入如0x101个字符,在保证能够溢出到返回地址的同时,v8字节截断后的0x01又能够通过if判断,然后通过函数sub_400A90进行溢出. 函数sub_400AD1中存在格式化字符串漏洞,我们可以通过这个漏洞泄露任意地址的内容,并通过Dy

前言 涉及知识点:反序列化.代码执行.命令执行 题目来自:i春秋 hash  如果i春秋题目有问题可以登录榆林学院信息安全协会CTF平台使用 或者利用本文章提供的源码自主复现 [i春秋]"百度杯"CTF比赛 十月场-Hash 点击hahaha进入下一个页面 进入之后我们发现这有一段英文说如果不是123 我们就可以获得flag 我们分析URL key部分有个123 我们替换成122试试 试了之后不行我们看到hash的值一看就是md5密文直接拿去解密看看有什么发现 http://地址/in

"百度杯"CTF比赛 十月场--EXEC 进入网站页面 查看源码 发现了vim,可能是vim泄露,于是在url地址输入了http://21b854b211034489a4ee1cb0d37b0212560fbf24f2e6468d.changame.ichunqiu.com/.index.php.swp 或者通过dirsearch工具扫描网站目录也可以发现 /.index.php.swp,也可以想到vim泄露 下载文件 下一步就是通过 vim -r index.php.swp恢复ind

爆破-1: 打开链接,是502 我直接在后面加个变量传参数:?a=1 出了一段代码 var_dump()函数中,用了$$a,可能用了超全局变量GLOBALS 给hello参数传个GLOBALS 得到flag 爆破-2: 打开链接 var_dump()会返回数据变量的类型和值 eval()会把字符串当作php代码 有两种方法得到flag 1:?hello=file('flag.php') 2:?hello=);show_source('flag.php');var_dump( 爆破-3: 打开链接

题目在i春秋的ctf训练营中能找到 首先先是一个用户登录与注册界面,一般有注册界面的都是要先让你注册一波,然后找惊喜的 那我就顺着他的意思去注册一个号 注册了一个123用户登录进来看到有个文本编辑器,莫不是一个上传漏洞? 先传个图助助兴: 爆出了是一个kindeditor编辑器,先去百度看看有没有已知漏洞直接用的 翻到一个目录遍历的0day,里面有详细的利用方法 访问url+kingedit/php/file_manager_json.php?path=/,得到绝对路径 继续翻,http://0

1.祸起北荒 题目: 亿万年前 天子之子华夜,被父神之神末渊上神告知六荒十海之北荒西二旗即将发生一场"百度杯"的诸神之战 他作为天族的太子必须参与到此次诸神之战定六荒十海 华夜临危受命,马上带着火凤凰飞行到北荒"西二旗" 却没想到这六荒之首北荒西二旗果然名不虚传,这是一个位于六层虚数空间上的时空大陆 他需要闯过每一层虚数空间,方能到达虚数空间 第一层虚数空间是需要与一个上古神器"i春秋"进行智能比拼,获取开启第一层虚数空间的flag 启动法诀:

CTF-i春秋网鼎杯第二场misc部分writeup 套娃 下载下来是六张图片 直接看并没有什么信息 一个一个查看属性 没有找到有用信息 到winhexv里看一下 都是标准的png图片,而且没有flag写入Hex数据 继续扔到kali里用binwalk分析一下 图片未嵌入其他文件 直接在kali双击打开png图片,发现可以正常打开(注:被修改过高度的图片无法在kali中直接打开,会显示无法载入图像) 那继续分析IDAT块,IDAT是png图片中储存图像像数数据的块,不清楚的可以去补充一下关于pn

CTF-i春秋网鼎杯第一场misc部分writeup 最近因为工作原因报名了网鼎杯,被虐了几天后方知自己还是太年轻!分享一下自己的解题经验吧 minified 题目: 一张花屏,png的图片,老方法,先看属性 什么也没. 再扔到winhexv里看看 头文件正常,确实是png,尝试搜索flag关键字也没有收获. 继续扔到kali里用binwalk分析一下 也没有发现异常的 会不会是高度隐写呢,直接在kali双击打开png图片,发现可以正常打开(注:被修改过高度的图片无法在kali中直接打开,会显示

进入题后老套路得到两个关键: 1.$hash=md5($sign.$key);the length of $sign is 8 2.key=123&hash=f9109d5f83921a551cf859f853afe7bb 然后md5解密那个hash=kkkkkk01123 根据源码说的$sign位数为8位,后改一下key 然后md5后得到提示Gu3ss_m3_h2h2.php这个文件 <?php class Demo {     private $file = 'Gu3ss_m3_h2h2

前面比较常规吧看源代码-看到vim 然后就是 .index.php.swp 然后就是 这个文件的恢复,用linux下vim -r index.php.swp  就可以看到不是乱码的文件了 然后就是审核源码 1.用了ord()[返回第一个的acsii编码] 函数 大概条件的条件就是 不能是数字 2.用16进制的就可以绕过了 0xabcdef == '11259375' 条件为真 然后主要就是那个cmd的问题,不允许tcp链接 我在网上看到3种方法 1.用了一个python脚本进行sleep() 进

出现敏感的信息,然后进行登录 登录成功发现奇怪的show 然后把show放到发包里面试一下 出现了源码,审计代码开始 出flag的条件要user 等于春秋 然后进行login来源于反序列化后的login 下面进行序列化 然后参数为token,可以通过post,get,cookie的方式,但是看到都是用的cookie,我就用post和get

0x00: 打开题目,题目中告诉我们这题是文件泄露. 0x01: 通过扫描目录,发现可以扫到的有3个文件 index.php flag.php robots.txt 但是浏览flag.php它告诉我们这不是真正的flag 又联系到题目文件泄露,于是测试.swp .swo .bak等备份文件后缀均无果.最后发现是.git泄露. 我们浏览这个url http://6094ef7a9cad4288a4748de8ff8ffc573453e961300f46ce.game.ichunqiu.com/Ch

题目在i春秋ctf大本营 页面给出了验证码经过md5加密后前6位的值,依照之前做题的套路,首先肯定是要爆破出验证码,这里直接给我写的爆破代码 #coding:utf-8 import hashlib strs = '35eb09' def md5(s): return hashlib.md5(str(s).encode('utf-8')).hexdigest() def main(): for i in range(100000,100000000): a = md5(i) if a[0:6]