分类:CTF

44 篇文章

ciscn2021的两道题
ciscn2021 华北半决赛 java 注册后登录,/message会显示所有的message,而浏览方式是通过/view,然后传path参数,存在任意文件读取 tree中给了目录树 . ├── pom.xml └── src └── main ├── java │ └── com │ └── nothing │ └── game │ ├── G…
GKCTF2021出题
源码以及dockerfile:https://github.com/w4nd3r-0/GKCTF2021 easycms 网上找了个后台getshell的cms哪来改改用了,当作签到题。 babycat 非预期: 首先是uploadServlet中doPost没权限校验导致guest也能直接传文件,其次在check函数后转发没返回,后面的代码依旧执…
强网杯2021 writeup
[强网先锋]赌徒 www.zip源码泄露,构造反序列化链 <meta charset="utf-8"> <?php //hint is in hint.php error_reporting(1); class Start { public $name;//='guest'; public …
第十四届全国大学生信息安全竞赛初赛 writeup
梦回高考。国赛嘛很正常 easy_sql ')闭合,join报错注入字段,盲猜表名flag select*from (select * from flag as a join flag b)c 然后挨个爆字段,直到第三个字段为一串uuid select * from (select * from flag join flag as b using(…
D^3CTF 2021 8-bit-pub & non RCE
这题花了我比较长的时间,一直在想如何命令执行,不过这题也比较容易上车...希望WP出来后能把java那题弄懂 8-bit-pub 首先要成为admin,本来以为是文件读取读key然后伪造session啥的,但是这代码路由写死了 总的来说就三个功能 登陆注册用的是预编译,可以这样 sql查询就变成了 SELECT * FROM test WHERE …
*CTF2021 oh-my-bet
抓个包,发现头像处1.png,可以路径穿越 结果会保存在头像中 /app/utils.py urllib请求,基本上是ssrf+crlf /app/config.py 内网172.20.0.2 8877是个ftp,crlf看一下ftp文件可以得到config.json ftp://fan:root@172.20.0.2:8877/files/con…
网鼎杯2020线下web
由于种种原因没去成线下,下一次网鼎杯估计2022了,有点可惜,只能上buu复现了几题 [网鼎杯 2020 半决赛]faka 给了sql文件,本地导入一下可以看到admin的md5密码 解密得到密码: admincccbbb123 这里还有一种方法: /admin/Index/info处未授权访问 可以直接添加后台用户,但是不是超级管理员,数据库中注…
首届祥云杯 web writeup
白给一天,最后30秒看着别人噌噌噌上分,心态崩了 Command 这题学弟做的没咋看: 利用sort或者uniq可以读取文件,采取?通配符读取文件绕过 $a = shell_exec("ping -c 4 ".$ip); $ip=$_GET['url']; if(preg_match("/(;|&#…
2020上海市网络安全大赛 web writeup
千毒网盘|2 www.zip源码,变量覆盖 https://blog.csdn.net/weixin_30258901/article/details/96605162 POST /?_POST[code]=select code=select \$_GET,$_POST如下 array(1) { ["_POST"]=> …
ByteCTF2020
头给我锤烂了 douyin_video http://c.bytectf.live:30002/ 有selfxss,提交的url只能是http://a.bytectf.live:30001/ http://b.bytectf.live:30001/ 给了源码,要botip才能访问 但是flask配置文件中的正则没加^结尾 导致能用换行%0a+@符伪…