[]常用命令cat被过滤目录扫描exit截断空格被过滤短标签;号绕过命令拼接1>/dev/null2>&1绕过无字母/bin无字母数字用$()表示数字UAF脚本其他姿势本文以ctf.show网站题目为例

这篇文章记录了我刷题的过程，是ctf.show上的XSS漏洞，第316-第333推荐一篇文章：XSS总结-先知社区这篇文章列举一些自动触发的payload，可以收藏起来。

条件竞争文件类型验证修改文件名修改文件类型user.iniauto_append_file和auto_prepend_fileGIF89A二次渲染gifpngjpg.htaccessapache解析漏洞本文以ctf.show

原题：ctf.show因为本人也是刚学sql注入，所以会尽可能的写的详细一点-------------------------------------------------1.判断是否可以进行sql注入关于进行

一、访问在线靶场ctfshowctf.showhttps://ctf.show/challenges如下图所示，进入_萌新赛的web1问题：如上图所示，页面代码提示id=1000时，可以查询到flag，

本文目录序列化和反序列化序列化反序列化unserialize()魔法函数PHP伪协议php://协议php://inputphp://input例题(ctf.show)web3php://filterfile

自定义迭代器)自定义迭代器可以自定义拼接方式分别设置三个位置，第一个位置为admin第二个位置为:第三个位置导入他下载的字典选择base64解密，去掉url编码web22域名也可以爆破的，试试爆破这个ctf.show

红包题第二弹打开题目，提示参数cmd我们随便输入?cmd=1得到源代码ctf.show_红包题whereistheflag?ctf.show_红包题ctf.show_红包题whereistheflag?cerror我们要利用eval()函数命令执行，但是我们看一下if语句，发现是无字母数字RCE，并且不能用取反，异或，自增去绕过（这里可以参考p神文章）我们得先了解下面几个概念点.点命令等于sour

WEB入门篇--命令执行详细Wp文件上传：Web151：Web152：Web153：Web154：Web155：Web156：Web157：CTFShow平台：https://ctf.show/文件上传

命令执行详细Wp命令执行：Web29：Web30：Web31：web32：web33：web34：web35：web36：web37：web38：web39：web40：CTFShow平台：https://ctf.show

信息泄露1.源码泄露2.前台JS绕过3.协议头信息泄露4.robots后台泄露5.phps源码泄露有时候能帮上忙6.源码压缩包泄露7.版本控制泄露源码8.版本控制泄露源码29.vim临时文件泄露10.cookie泄露11.域名txt记录泄露12.敏感信息公布1.源码泄露F12查看源代码，得到flag2.前台JS绕过还是查看源代码，这次F12不行还可以用：ctrl+u，在网站前面加view-sour

信息泄露13.内部技术文档泄露14.编辑器配置不当15.密码逻辑脆弱16.探针泄露17.CDN穿透18.js敏感信息泄露19.前端密钥泄露20.数据库恶意下载13.内部技术文档泄露打开网站，是一个不知道是什么的网站，既然题目是关于技术文档的东西，就找关于文档的东西呗，果然，翻到最下面就找到了进去下面就有后台登录的账号和密码不过打开并地址不能访问，提示找不your-domain的服务器，翻译一下就是

：web7：web8：web9：web10：web11：web12：web13：web14：web15：web16：web17：web18：web19：web20：CTFShow平台：https://ctf.show

1、ctf.show每周大挑战之RCE极限挑战php的eval()解释：eval()函数把字符串按照PHP代码来计算。该字符串必须是合法的PHP代码，且必须以分号结尾。

1、奇怪的压缩包下载附件解压提示要密码使用010editor打开，发现frFlags和deFlags的值都被修改了，这就会造成压缩包的伪加密，将它们都改回0。另存为一个文件再打开，没有密码提示了解压发现图片并不完整，反正高度并不够的，下面还有内容没有显示出来放入010editor，可以看到CRC也报错了，看来高度确实被修改了我们把高度修长另存为再打开5oSa5Lq66lqC5b+r5LmQ77yB

但是特意留了个或运算符|php部分=32&ord($c)')print("eg：pythonexp.pyhttp://ctf.show/")print("="*50)exit(0)url=argv[1]

web89if(isset($_GET['num'])){$num=$_GET['num'];if(preg_match("/[0-9]/",$num)){die("nonono!");}if(intval($num)){echo$flag;}考察preg_match函数处理不了数组，错误返回0，即是我们想要的/?num[]web90if(isset($_GET['num'])){$num=$_G

1、进入ctf.show靶场的WEB分类下的web3、web4题打开的靶场内容显示如下图所示，是文件包含类型，需要上传一个文件，参数名称是url。

1、靶场：ctf.show中WEB下第2题(web2)2、sql注入过程示例1、判断是否存在注入点如下图所示，用户名输入aaa'or1=1--a，点击“登录”按钮，若可以登录成功，则存在注入点。

article/details/121939902二、环境准备1、靶场：http://vulfocus.fofa.so/#/dashboard（fofa出了点问题，暂时无法访问）2、靶场：https://ctf.show

https://ctf.show/攻防世界https://adworld.xctf.org.cn/Bugkuhttps://ctf.bugku.com/论剑场https://new.bugku.com/

[ctfshow]web入门——反序列化ctfshow：https://ctf.show/challenges#web261-721群主的视频wp：https://www.bilibili.com/video

web89源码开局intval()函数用于获取变量的整数值intval()函数通过使用指定的进制base转换(默认是十进制)返回变量var的integer数值.intval()不能用于object,否则会产生E_NOTICE错误并返回1preg_match()函数:判断输入的值是否存在指定字符preg_match()函数无法处理数组,这里发现匹配到数字就死,但是intval()中又必须是数字,所以

web21base64编码爆破抓包发现并没有使用get和post提交发现一个basic解码base64是密码开始爆破,添加位置选择用户自定义在一填admin:二加上刚才的字典添加base64编码,取消下面的url编码查看响应web22子域名爆破扫一下百度吧,记录下工具ctfrpythonctfr.py-dbaidu.comoneforallpythononeforall.py--targetsba

感谢ctfshow平台供题,平台地址：https://ctf.show/2021年1月23日，大吉大利杯盛大开幕，欢迎小伙伴们前来参赛目录萌新认证萌新_密码1萌新_密码2萌新密码3萌新密码#4隐写1隐写

文件上传个人介绍姓名：飞羽CTF菜菜一枚例题来源ctfhub：https://www.ctfhub.compwnthebox：https://insider.pwnthebox.comctfshow：https://ctf.show

目录php_rceNewsCenterctf.show_web3ctf.show_web4ctf.show_web5ctf.show_web6ctf.show_web7php_rce这道题考察php远程漏洞问题打开界面一看，然后看师傅们的wp都是直接去，github去查ThinkPHPV5漏洞然后随便找了一个输了进去发现，提示我们要用5.02的版本漏洞6、http://localhost/thin

12writeup目录web9解题过程web10解题过程防护一：防护二：防护三：两个小知识：groupbywithrollupweb11解题过程删除session中的passwordweb12解题过程web9题目：ctf.show

ctf平台（ctfshow）`https://ctf.show/1、签到解题：base64解码ctfshow{0da357d0-359b-47e1-80dc-5c02212725e5}2、web2解题：

判断字符型1'报错1'#更换'反复尝试如果正常返回为字符型注入判断数字型注入的方法1'与原界面返回不同或报错1/**/and/**/1=1与原页面返回相同1/**/and/**/1=2与原页面返回不同即可得出为数字型?id=1/**/order/**/by/**/3#与原页面返回相同?id=-1/**/union/**/select/**/1,2,3#查表id=-1/**/union/**/sel

1'or1=1#返回sql注入错误当无空格是正常返回1'/**/or/**/1=1#&password=查库1'/**/union/**/select/**/1,database(),3#&password=查表1'/**/union/**/select/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/

单引号无回显也无报错，'or1=1#有回显orderby测试也没特殊回显好像必须要带入sql函数才能回显直接进行unionselect1.查看当前数据库名称1'or1=1unionselect1,database(),3limit1,2;#--2.查看数据库表的数量=》得到数据库数量为2'or1=1unionselect1,(selectcount(*)frominformation_schema

目录信息收集web1:【whereisflag】web2:【无法查看源代码】web3:【whereisflag】web4:【robots】web5:【phps文件泄露】web6:【网站源码泄露】web7:【git】web8:【svn泄露】web9:【vim缓存泄露】web10:【cookie】web11:【域名解析】web12:【网站公开信息=管理员常用密码】web13:【技术文档里的敏感信息】w

题目地址https://ctf.show尝试简单的万能密码以及过滤绕过，各种方法均没有回显。查看网站源代码，没有提示。这时候猜测可能有其他页面，直接后台目录扫描，发现index.phps源代码文件。

一般这种题目搜集信息是第一步之后可能拿到源码才能知道下一步注入什么robots.txtindex.phpswww.zip.git/index.php.svn/index.php.swp后台登录/admin/探针tz.php

题目链接：https://ctf.show/challenges#%E6%9D%82%E9%A1%B92_%E7%AC%AC%E5%8D%81%E4%B8%89%E5%B0%81%E8%AF%B7%E4%

ctf.show1.密码学签到看到密文之后不难发现，flag就是倒着写的，直接将密文倒叙输出就是答案2.看到题目，全是由符号组成的，将题目内容全部复制到控制台，回车即可得到答案3.第三题与第二题看起来是一样的，所以先将其复制到控制台，发现报错了，有中文的引号，将所有的引号全部换成英文之后还是没有得到flag，········（不会了，没有思路了）4.直接用工具计算出私钥d即可5.根据rsa密码的解

可以先学习一下命令执行绕过小技巧web29error_reporting(0);if(isset($_GET['c'])){$c=$_GET['c'];if(!preg_match("/flag/i",$c)){eval($c);}}else{highlight_file(__FILE__);}preg_match（）函数学习一下：preg_match函数是进行正则表达式的匹配，成功返回1，否则返

比赛时间：2021年5月1日晚6点至5月3日晚6点比赛难度：不超过小学二年级水平比赛类型：个人赛，群里的师傅均可参赛比赛奖励：总分前5的师傅每人1个女朋友比赛地址：https://ctf.show比赛说明

ctfshow萌新专属红包题writeup题目来源：https://ctf.show/这一题是ctfshow平台上面2月17日更新的一个萌新红包题，当天在官方交流群内知道晚上会有一个萌新红包题之后，就有点期待了

前言ctf.show的萌新计划，简单记录一下绕过方法第一题源码：ctf.show萌新计划web1999){#id大于999直接退出并返回错误die("iderror");}else{#id小于999拼接

题目地址：https://ctf.show打开页面点击取消按钮，出现源码。

题目地址：https://ctf.show打开网站显示如下源码：和web10有很多相同的地方，但是这一题出flag的条件是$password==$_SESSION['password']，password

题目地址：https://ctf.show对于这个题第一个坑要过的话必须得了解php的switchcase语句。

题目地址：http://ctf.show进入题目是个文件上传的题目,尝试了一番文件上传漏洞利用的方法后，没有啥突破，可能有啥隐藏的目录，尝试源码泄露利用的方法，在输入upload.php.bak时成功下载下来源码

题目网站https://ctf.show考察md5绕过，要求v1为为字母，v2为数字，并且v1与v2的md5值相同。

ctf.showweb6sql注入过滤了空格开始的页面。是一个登录的页面随便输入用户名和密码，没有报错之类的，就把账户名和密码都清空了那就来burpsuit抓包先用个万能密码’or1=1#这里提示sql注入错误，一般是有过滤，这里过滤了空格，绕过空格被过滤的可以用/**/,(),`,tab,两个空格这利我们用/**/代替空格先判断有多少字段，先用4个测试一下，没有出现欢迎你的字样那就用三个，测试成

ctf.showweb2最简单的SQL注入1、一开始的页面随便输入用户名和密码看它怎么反应没报错，只是清空了用户名和密码题目提示是sql注入，那就用burpsuit抓个包，发送到repeater点击go既然是登录的页面，那就用万能密码’or1=1#，出现欢迎您，ctfshow，说明登录成功,这里得说明一下username=admin’or1=1#password=123这条语句，#号是注释符，所以

ctf.showweb3php伪协议+文件包含+命令执行题目的提示：一开始的页面：看到这个语句，那就是文件包含了，先试下file:////etc/passwd,有反应试下有没有flag.txt文件，好像没有这个文件那现在我们利用php伪协议php://inputpost提交命令，这里不知道为什么我用hackerbarpost提交没有反应，那只能burp抓包咯，利用命令执行ls，查看当前有啥文件这里

题目地址http://ctf.show目录签到_观己web2_观星web3_观图web4_观心web1_观字签到_观己既然是签到，那我们就去猜一下flag的位置以及文件名payload:file=/flag.txt