c1ay's blog

c1ay's blog

信息安全原创技术博客

2020 N1CTF writeup
队伍ID:GUTS,web狗个人参赛 做出的题目 web-SignIn这道题自己用注入注入出的key,然后通过key获取的flag,不知道其他师傅都是怎么解的 题目代码: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051<?php class ip { public $ip; public function waf($info){ } public function __construct()...
2020GACTF writeup
EZFLASKhttp://124.70.206.91:10001/ 123456789101112131415161718192021222324# -*- coding: utf-8 -*-from flask import Flask, requestimport requestsfrom waf import *import timeapp = Flask(__name__) @app.route('/ctfhint')def ctf(): hint =xxxx # hints trick = xxxx # trick return trick @app.ro...
2020钓鱼城杯writeup
easywebphp命令执行无回显、不出网、web目录不可写 通过php -r "sleep(5)"延时可以判断命令执行成功 获取/flag.txt cmd=php -r "if(strlen(file_get_contents('/flag.txt'))==25){sleep(5);}" 时间盲注脚本: 12345678910111213141516171819import timeimport requestsimport string l=string.maketrans("","")[33:127] flag="" for...
2020强网杯writeup
没做出几道题,记录一下吧,周末两天的做题还是有收获的 强网先锋web辅助 题目直接给了源码 index.php 1234567891011121314151617<?php@error_reporting(0);require_once "common.php";require_once "class.php"; if (isset($_GET['username']) && isset($_GET['password'])){ $username = $_GET['username']; $password = $_GET['password']; $p...
2020宁波市第三届网络安全大赛-web题writeup
序比赛时间只有一下午,最终很遗憾没有进入线下,菜是原罪,将过程记录一下吧 web签到提示:这是只有本地管理员权限才能访问的页面,你想要越权访问? 直接X-Forwarded-For: 127.0.0.1结合Cookie: user=admin easy_sql在这道题上花了一些时间,注入类型为数字型,注入点的位置应该是在where xxx=xxx的位置,经过一番测试发现最基本的注入语句都被过滤了,很大可能是是基于正则的过滤,经过fuzz后猜测一些过滤规则如下: 首先尝试union select进行回显,发现过滤规则如下: 出现数字+任意字符+SQL关键字(这里的正则没有绕过) 1sel...
2020网鼎杯朱雀组-部分web
phpweb打开页面查看源码,发现有个隐藏表单会固定时间自动提交一些参数,如下 通过提交的内容很容易想到了php代码执行,但是经过简单测试发现好像过滤了很多函数,那么首先尝试读取源码 1func=file_get_contents&p=index.php 获取到源码如下,很容易看到代码执行 123456789101112131415161718192021222324252627282930<?php$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source"...
2020网鼎杯青龙组-php反序列化
2020网鼎杯青龙组-php反序列化赛后拿到了题目的源码,搭到本地做了一遍,今天不比赛,先试试题目难度~ 题目代码如下: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182<?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler { ...
通达OA任意用户登录
通达OA任意用户登录漏洞分析分析文章:https://mp.weixin.qq.com/s/yJuLhC1GxkMbGL0mRORIoA 本地测试版本:2017、v11.3,这两个版本,奇怪的是,在这两个版本的源码当中,都没有找到分析文章当中对CODE_LOGIN.$CODEUID进行判断的那块代码 漏洞位置: logincheck_code.php 这里$UID可控,当$_POST['UID']为1时,会直接从数据库USER表查询查询系统管理员的信息,然后直接将结果直接赋值给$_SESSION变量,获取系统管理员登录权限(缺少对CODE_LOGIN.$CODEUID的...
avatar
c1ay
Learning to be good at thinking, thinking, thinking.