c1ay's blog

c1ay's blog

信息安全原创技术博客

2020宁波市第三届网络安全大赛-web题writeup
序比赛时间只有一下午,最终很遗憾没有进入线下,菜是原罪,将过程记录一下吧 web签到提示:这是只有本地管理员权限才能访问的页面,你想要越权访问? 直接X-Forwarded-For: 127.0.0.1结合Cookie: user=admin easy_sql在这道题上花了一些时间,注入类型为数字型,注入点的位置应该是在where xxx=xxx的位置,经过一番测试发现最基本的注入语句都被过滤了,很大可能是是基于正则的过滤,经过fuzz后猜测一些过滤规则如下: 首先尝试union select进行回显,发现过滤规则如下: 出现数字+任意字符+SQL关键字(这里的正则没有绕过) 1sel...
2020网鼎杯朱雀组-部分web
phpweb打开页面查看源码,发现有个隐藏表单会固定时间自动提交一些参数,如下 通过提交的内容很容易想到了php代码执行,但是经过简单测试发现好像过滤了很多函数,那么首先尝试读取源码 1func=file_get_contents&p=index.php 获取到源码如下,很容易看到代码执行 123456789101112131415161718192021222324252627282930<?php$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source"...
2020网鼎杯青龙组-php反序列化
2020网鼎杯青龙组-php反序列化赛后拿到了题目的源码,搭到本地做了一遍,今天不比赛,先试试题目难度~ 题目代码如下: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182<?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler { ...
通达OA任意用户登录
通达OA任意用户登录漏洞分析分析文章:https://mp.weixin.qq.com/s/yJuLhC1GxkMbGL0mRORIoA 本地测试版本:2017、v11.3,这两个版本,奇怪的是,在这两个版本的源码当中,都没有找到分析文章当中对CODE_LOGIN.$CODEUID进行判断的那块代码 漏洞位置: logincheck_code.php 这里$UID可控,当$_POST['UID']为1时,会直接从数据库USER表查询查询系统管理员的信息,然后直接将结果直接赋值给$_SESSION变量,获取系统管理员登录权限(缺少对CODE_LOGIN.$CODEUID的...
phpweb前台任意文件上传
phpweb前台任意文件上传漏洞分析存在漏洞的代码位置: /base/appplus.php 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879//密钥校验$k=md5(strrev($dbUser.$dbPass));$h=$_SERVER["HTTP_REFERER"];$t=$_POST["t"];$m=$_POST["m"];$act=...
ctf记录-记一次有趣的注入
ctf记录-记一次有趣的注入绕过正常页面:xxx/article.php?id=2 当id=2'时返回404(页面不正常),但是没有sql报错信息当id=2"时返回正常页面所以有可能是单引号包裹的字符型无报错回显注入 当id=2'--时– 被过滤,id=2'%23页面正常显示,基本确定了存在注入 该注入存在过滤,通过简单测试,发现大致过滤了order、information_schema、and、or、逗号等字符,并且对union select进行了过滤,但是union和select单独出现并没有过滤 另外该注入无sql报错回显,只能使用union联合查...
2019极客巅峰ctf记录
2019极客巅峰ctf记录周六抽时间做了2019极客巅峰的ctf,发现自己是真的菜,需要找个地方沉淀一下,所以将做出的题记录记录在博客 aweb_1 提示admin才能看到flag1 发现注册处用户名参数存在二次注入,有过滤,使用`name=admin’//and//‘3`绕过注册成功,用户名:assssssssss@qq.com,密码:123456’,登录成功,成功获取到flag upload这道题线上没做出来,比赛结束后研究了一波,:( 打开题目,首页有三个模块,分别为 查看文件:file.php?file= 上传文件:upload_file.php 下载文件:download.ph...
2019强网杯-过滤select的注入
2019强网杯-过滤select的注入随便注这道题的题目就是随便注,说是取自某次真实渗透环境,确定了这道题是考察注入,经测试发现为单引号包裹的字符型注入,但是存在存在过滤,过滤的sql关键字如下 1preg_match("/select|update|delete|drop|insert|where|\./i", $inject); 这里过滤了select关键字,/i表示对大小写进行检查,所以大小写绕过无效,所以这里需要想别的办法,首先通过报错注入可以获取数据库的相关信息 通过报错注入获取当前数据库类型与版本: http://117.78.39.172:32689/?inject=-1%...
avatar
c1ay
Learning to be good at thinking, thinking, thinking.