一、[BJDCTF2020]EasyMD51.题目2.解题步骤题目是一个简简单单查询框。

打开题目链接，页面十分简洁，只有一个提交查询的输入框试着输入些字符，观察回显情况；发现没有任何回显。接着查看源代码寻找提示，源代码中没有提示，在响应头中发现了hint。hint：select*from'admin'wherepassword=md5($pass,true)构造$pass字符串经md5加密后出现'or'，则可令该SQL语句返回true，与万能密码的原理相同。像这样的字符串有：1295

题目图片.png过程1.需要用到dirsearch和githack，项目已经部署在gihub上，直接gitcloneurl就可以下载https://github.com/maurosoria/dirsearchhttps://github.com/BugScanTeam/GitHack2.dirsearch扫描目录，发现存在源码泄露python3dirsearch.py-ephp,txt,zip-

De1CTF2019]SSRFMe[极客大挑战2019]FinalSQL[CISCN2019华东南赛区]Web11[BSidesCF2019]Futurella[SUCTF2019]Pythonginx[BJDCTF2020

目录CryptoMD5Url编码看我回旋踢web[极客大挑战2019]BuyFlag[BJDCTF2020]EasyMD5CryptoMD51.下载文件2.md5在线解密3.外包flagUrl编码使用url

checksec64位nxida：ret2textexp:frompwnimport*r=remote("pwn.challenge.ctf.show",28117)backdoor=0x4006e6retn=0X4006far.recvuntil("name:\n")r.sendline("100")r.recvuntil("name?")payload=b"a"*0x18+p64(backdo

frompwnimport*p=process('./bjdctf_2020_babystack')p.recvuntil("lengthofyourname:\n")p.sendline('1024')p.recvuntil("What'suname?\n")payload='a'*12+p32(1024)+'a'*8+p64(0x00000000004006E6)p.sendline(payl

第八周目录WEB[RoarCTF2019]EasyJavaWEB-INF/web.xml泄露WEB-INF/web.xml泄露原因WEB-INF/web.xml泄露利用方法解决方法[BJDCTF2020

[BJDCTF2020]EasyMD5界面没发现啥特别，抓包看看，发现一条隐藏提示。到了这步卡住了，看了下wp，发现ffifdyop绕过，为啥可以绕过，大概意思就是ffifdyop。

buuctfrsa21题目描述：题目分析：收获与体会：buuctf[HDCTF2019]bbbbbbrsa1题目描述：题目解析：收获与体会：buuctfRSA51题目描述：题目分析：收获与体会：buuctf[BJDCTF2020

解题步骤：查看源码EXP:[SWPUCTF2021新生赛]gift_pwn知识点：Checksec&IDAEXP：第一种：第二种[CISCN2019华北]PWN1知识点：Checksec&IDAEXP：[BJDCTF2020

第六周第三次目录学习到的知识1.MD5强弱比较可以都可以使用数组绕过2.基于MD5()的万能密码ffifdyopWEB[BJDCTF2020]EasyMD5编辑[护网杯2018]easy_tornadoCrypto

目录信息收集hint页面flag页面命令执行reference信息收集hint页面flag页面输入任意内容（这里输入admin）这里第一反应是cookie类的SQL注入？但是发现这里其实并没有实现查询信息的功能，只是将输入的内容进行打印，看下前端源码，可能是SSTI！修改cookie${7*7}----------{{7*7}}---------{{7*'7'}}确认是SSTI（PHP），根据上文

favorite_number进入环境得到源码这里发现一个assert()函数，想到估计是代码执行漏洞，而$page没有任何的控制直接拼接，我们想利用assert()函数执行cat./templates/flag.php获得flag，那么肯定要破坏原来的assert结构才能，使得我们目标才能达成assert("strpos('$file','..')===false")assert("file_e

寻找思路打开看页面只有一个框，啥也没有，于是翻看源码、数据包啥的看看有没有什么线索。可以在数据包内发现有个hint：Hint:select*from'admin'wherepassword=md5($pass,true)然后方向大概知道了，进行sql注入。但是如何在经过md5加密之后还能形成注入。我们目标构造形成'or'数字以此形成万能密码。md5($pass,true)这个php函数参考了很多大

知识点password='".md5($pass,true)."'解题360截图17290429273651.PNG360截图17891228296729.PNG这里可以看到是通过get参数进行传参，但是这里也没有其他的提示，尝试传统的抓包，等分析没有得到有用信息，查看大佬wp，知道了其中调用了这样的函数password='".md5($pass,true)."'就是将你输入的命令进行MD5加密后

题目图片.png过程1.抓包分析，flag.php，hint.php，index.php，发现貌似和ip有关图片.png图片.png2.客户端请求头，XFF和client-ip都可。发现可以控制输入图片.png3.尝试是否可以进行逻辑运算{7*8}，发现可以图片.png4.尝试系统命令client-ip:{system('ls')}发现可以，尝试cat/flag,没有任何过滤图片.png

文章目录[BJDCTF2020]rsa_output1：题目描述：题目分析：收获与体会：SameMod1题目描述：题目分析：收获与体会：buu[BJDCTF2020]easyrsa1题目描述：题目分析：

目录信息收集构造payloadPHP弱类型hash比较缺陷0e碰撞数组MD5总结信息收集看题目应该和MD5加密相关select*from'admin'wherepassword=md5($pass,true)PHP的MD5函数string必需。规定要计算的字符串。raw可选。规定十六进制或二进制输出格式：TRUE-原始16字符二进制格式FALSE-默认。32字符十六进制数构造payload";ec

[BJDCTF2020]EasyMD56.[极客大挑战2019]HardSQL7.[GXYCTF2019]BabySQli8.[GYCTF2020]Blacklist9.

c#逆向解压附件可以看到unity用dnspy反编译Assembly-CSharp.dll这里应该是sha1和md5但是md5是自写的拿vs跑一下就行c#代码：namespaceA004{classProgram{staticvoidMain(string[]args){byte[]bytes=Encoding.UTF8.GetBytes("1001");byte[]array=MD5.Creat

点击flag发现经过一番查找，发现这是个内网地址，而且不是访问者的ip使用X-Forwarded-For进行伪造地址：测试{{2*2}}直接查看当前目录下的内容：{{system('ls')}}查看flag.php{{system('catflag.php')}}是假的，被骗了再查看根目录{{system('ls/')}}然后查看flag{{system('cat/flag')}}得到flag

[BJDCTF2020]EasySearch首先就是dirsearch扫描，用dirsearch的前提一定是前端看不到啥东西了，呢就不用猜，绝对有一些隐藏文件。

主要考察了：源代码泄露、变量覆盖共展示了三种获取flag的方式1、打开题目查看未发现有效信息，查看源代码信息，发现返回的dog信息，结果如下：2、使用dirmap进行目录扫描，发现了.git/config，那就想到了源代码泄露的问题，使用githack工具获取源代码信息，但是只获取到了一些js

主要考察了：源代码泄露、变量覆盖共展示了三种获取flag的方式1、打开题目查看未发现有效信息，查看源代码信息，发现返回的dog信息，结果如下：2、使用dirmap进行目录扫描，发现了.git/config，那就想到了源代码泄露的问题，使用githack工具获取源代码信息，但是只获取到了一些js

1、打开之后在各个界面查看源代码，未发现很明显的有用信息，仅发现了提示，结果如下：2、尝试输入数据，结果就是输入什么就回显什么，也未进行过滤，尝试进行sql注入失败，结果如下：3、那就根据提示抓包查看下cookie信息，结果如下：4、sql注入失败，这里想到了ssti注入，那就进行ssti注入

知识点：模板注入漏洞总结：参考：很全的总结：一篇文章带你理解漏洞之SSTI漏洞|K0rz3n'sBlog1.常用的模板引擎PHP：smartyTwigBlade;python:jinja2djangotornadojava:JSPFreeMarkerVelocity当在服务端接收了用户的恶意输入以后，未经任何处理就将其作为Web应用模板内容的一部分，模板引擎在进行目标编译渲染的过程中，执行了用户插

记录一下BUUCTF中两个类似的SSTI注入关卡[BJDCTF2020]Themysteryofip-1:1、打开之后显示如下：2、在hint.php中进行了相关提示，如下：3、既然获取的是ip地址信息

buuctf-[BJDCTF2020]EasyMD5(小宇特详解)这里显示查询这里没有回显，f12一下查看有没有有用的信息我使用的火狐浏览器在网模块中找到了响应头Hint：select*from‘admin

EzPHP查看源码，然后base32解密一下进入对应文件。无语的是环境应该是出了问题，一上来就报“fxck”，导致那串代码根本没法绕过。最后破案了，需要把cookie清理一下。ThisisaverysimplechallengeandifyousolveitIwillgiveyouaflag.GoodLuck!";if($_SERVER){if(preg_match('/shana|debu|aq

[BJDCTF2020]Marklovescatdirb扫描目录发现.git泄露。

首先打开题目首先每个能点的按钮点一下，发现都是回到最顶上。于是我开始查看源代码。把源代码拖到最底下发现有一个不起眼的dog然后尝试抓包。实在没办法了，然后从github上面把源代码下载下来了这是flag.php里面的这是index.php里面的（去除掉原本能看到的）$y){$$x=$y;}foreach($_GETas$x=>$y){$$x=$$y;}foreach($_GETas$x=>$y){

[BJDCTF2020]EasySearch考点思路Payload考点ApacheSSI远程命令执行漏洞、敏感文件泄露思路①：当目标服务器开启了SSI与CGI支持,我们就可以上传shtml，利用语法执行命令

文章目录利用点解题原理1原理2完利用点ffifdyop绕过md5($pass,true)SQL注入数组绕过md5解题打开环境只有一个输入框，听闻[BJDCTF2020]出题人喜欢把hint藏在response

[BJDCTF2020]Marklovescat题目：打开环境，得到：习惯性的看了下菜单，随便点了点，发现页面最后有个输入框然后就随便输了几个数字，发现url栏里出现了message=1：我当时就在想可能是

[BJDCTF2020]ZJCTF，不过如此题目：打开环境，得到：".file_get_contents($text,'r').""

[BJDCTF2020]Themysteryofip题目：打开环境，得到：左上角有个Flag与Hint，点点Flag试试：可以看到直接记录了我的IP，出现IP都会想到一个东西：X-Forwarded-For

目录一、不足：二、知识点：三、做完题，看完博客后的要求：四、我的思路：没有做出来，，，五、真WP六、攻防世界web之ics-05的一些不足与收获加一个题：攻防世界web之ics-05也是这个preg_replace一、不足：在文件包含那里卡住了，想着flag.php还是next.php10多分钟后才想到可以用filter协议来读么，，，等一会看看能不能用data协议来读去？？？这个可以的：inde

这个题，思路没想到，题做少了，，，不足：没有看出思路来。没有想到是ssti关键字测试的时候system(‘ls’)system('ls/')。别tm憨憨地写个system放那就不管了，，，憨球对ssti太不重视，只知道看一个jinja2的模板，，不知道又Twig模板注入漏洞。WP这里一直说IP。就抓包加上X-Forearded-For：127.0.0.1.跟着变化了，XFF可控，但因为是PHP页面

23-1[BJDCTF2020]Cookieissostable做题思路首先打开靶机之后有个提示，对我没用然后打开flag，问我什么名字，输入之后，显示的是输入的值，怀疑这

BUUCTF[BJDCTF2020]EasySearch考点：ApacheSSI远程命令执行shtml文件启动环境：一个登录框，尝试了弱密码与万能密码，均无结果，继续对题目进行信息收集，使用ctf-wscan

酷炫的欢迎界面，有1个flag.php和hint.phphint.php的页面元素发现了提示去flag.php发现存在模板注入然后提示说研究cookie，使用payloadpayload:{{_self.env.registerUndefinedFilterCallback(“exec”)}}{{_self.env.getFilter(“cat/flag”)}};flag：flag{985a093

前言文章所涉及的资料来自互联网整理和个人总结，意在于个人学习和经验汇总，如有什么地方侵权，请联系本人删除，谢谢！本文仅用于学习与交流，不得用于非法用途！题目稍微审计，发现需要读到文件内容为Ihaveadream，自然而然的就可以想到用伪协议来做题！注释里提醒了next.php，我们同样用伪协议base64加密来读文件data://text/plain,php://input读到的内容解码出来$st

Themysteryofip三个php文件，点进去都没啥收获。只有在flag看到了自己ip，除了想到xff头，完全就没思路了。抓个包修改xff头看一下ip可控，然后呢，然后呢，就不会了。。。。。看大佬wp之后，emmm，ip还能模板注入然后就是命令执行找flag感觉关键是要能想到这个ip能模板注入吧ZJCTF，不过如此打开看到源码。".file_get_contents($text,'r').""

但如当传入非字符串的参数，该函数会返回0；[BJDCTF2020]EasyMD5:知识点：md5($str,true)注入，当md5后的hex转换成字符串

[BJDCTF2020]ZJCTF，不过如此考点PHP伪协议preg_replace远程代码执行实操考点PHP伪协议https://www.cnblogs.com/wjrblogs/p/12285202

拖到winhex中分析会发现这是一个zip压缩包.会发现这里面还是一个压缩包文件里有个二维码扫描出flag

测试文件：https://www.lanzous.com/ib50fkb文件分析IDA打开后，在FunctionWindow里面找到ques()函数就是输出我们的flag。我们可以通过调试修改EIP地址到ques函数(0x00401520)输出flagintques(){intv0;//edxintresult;//eaxintv2[50];//[esp+20h][ebp-128h]intv3;/

[BJDCTF2020]这是base??1.达芬奇密码蒙娜丽莎中的数字列为打乱了的斐波拉契数列，找出顺序的斐波拉契数与乱序之间的映射，将其与下面的数3696885388211

[BJDCTF2020]RSA5.[GKCTF2020]babycrypto6.[GWCTF2019]BabyRSA7.[BJDCTF2020]rsa_output8.