分类:CTF

41 篇文章

第十四届全国大学生信息安全竞赛初赛 writeup
梦回高考。国赛嘛很正常 easy_sql ')闭合,join报错注入字段,盲猜表名flag select*from (select * from flag as a join flag b)c 然后挨个爆字段,直到第三个字段为一串uuid select * from (select * from flag join flag as b using(…
D^3CTF 2021 8-bit-pub & non RCE
这题花了我比较长的时间,一直在想如何命令执行,不过这题也比较容易上车...希望WP出来后能把java那题弄懂 8-bit-pub 首先要成为admin,本来以为是文件读取读key然后伪造session啥的,但是这代码路由写死了 总的来说就三个功能 登陆注册用的是预编译,可以这样 sql查询就变成了 SELECT * FROM test WHERE …
*CTF2021 oh-my-bet
抓个包,发现头像处1.png,可以路径穿越 结果会保存在头像中 /app/utils.py urllib请求,基本上是ssrf+crlf /app/config.py 内网172.20.0.2 8877是个ftp,crlf看一下ftp文件可以得到config.json ftp://fan:root@172.20.0.2:8877/files/con…
网鼎杯2020线下web
由于种种原因没去成线下,下一次网鼎杯估计2022了,有点可惜,只能上buu复现了几题 [网鼎杯 2020 半决赛]faka 给了sql文件,本地导入一下可以看到admin的md5密码 解密得到密码: admincccbbb123 这里还有一种方法: /admin/Index/info处未授权访问 可以直接添加后台用户,但是不是超级管理员,数据库中注…
首届祥云杯 web writeup
白给一天,最后30秒看着别人噌噌噌上分,心态崩了 Command 这题学弟做的没咋看: 利用sort或者uniq可以读取文件,采取?通配符读取文件绕过 $a = shell_exec("ping -c 4 ".$ip); $ip=$_GET['url']; if(preg_match("/(;|&#…
2020上海市网络安全大赛 web writeup
千毒网盘|2 www.zip源码,变量覆盖 https://blog.csdn.net/weixin_30258901/article/details/96605162 POST /?_POST[code]=select code=select \$_GET,$_POST如下 array(1) { ["_POST"]=> …
ByteCTF2020
头给我锤烂了 douyin_video http://c.bytectf.live:30002/ 有selfxss,提交的url只能是http://a.bytectf.live:30001/ http://b.bytectf.live:30001/ 给了源码,要botip才能访问 但是flask配置文件中的正则没加^结尾 导致能用换行%0a+@符伪…
SECCON CTF复现
Beginners Capsule import * as fs from 'fs'; // @ts-ignore import {enableSeccompFilter} from './lib.js'; class Flag { #flag: string; constructor(flag: strin…
2020西湖论剑 baby writeup
NewUpload 有宝塔waf,上传php文件或者文件内容包含php等都会502,然后504 后来发现可以用图片马+后缀换行来绕 然后有disable_functions和open_basedir,在shell里执行phpinfo();会被宝塔拦,所以要么直接写死在文件里,要么就动态掉用 exp: <?php class Client { …
DDCTF
Web签到 下载client发现是用来传参通信的 提示了sign格式,首先根据时间戳算出sign的算法,并且发现报错页面是java的框架,参考de1 calc,直接new实例读flag import base64 import hmac from hashlib import sha256 import requests import time i…