2020西湖论剑 baby writeup
NewUpload 有宝塔waf,上传php文件或者文件内容包含php等都会502,然后504 后来发现可以用图片马+后缀换行来绕 然后有disable_functions和open_basedir,在shell里执行phpinfo();会被宝塔拦,所以要么直接写死在文件里,要么就动态掉用 exp: <?php class Client { …
HTB-Remote
最近域名到期了,注册要好几天,发个水文 nmap -sC -sV -A 10.10.10.180 ftp anonymous登陆,但是没东西 smb smbclient -L 10.10.10.180 -L查看共享资源,但是需要登陆 rpc nfs共享 showmount -e 10.10.10.180 发现共享目录,把他挂到本地 mount 10…
DDCTF
Web签到 下载client发现是用来传参通信的 提示了sign格式,首先根据时间戳算出sign的算法,并且发现报错页面是java的框架,参考de1 calc,直接new实例读flag import base64 import hmac from hashlib import sha256 import requests import time i…
GACTF2020 writeup
EZFLASK 源码 # -*- coding: utf-8 -*- from flask import Flask, request import requests from waf import * import time app = Flask(__name__) @app.route('/ctfhint') def ct…
安恒8月赛
安恒大学 做到时候也是没想到,注入点在邮箱激活那 ezflask 这题是原题的基础上加了过滤 https://www.anquanke.com/post/id/212808#h3-9 源码如下 #!/usr/bin/env python # -*- coding: utf-8 -*- from flask import Flask, render_…
强网杯2020 writeup
被二进制爷爷们带飞Orz Web half_infiltration 首先反序列化,由于print之后无论走哪都会有ob_end_clean(),永远也不会输出,所以尝试输出之后让他报错来绕过 这样global$$this就会输出并报错 传入两个User,一个输出,一个报错绕过ob_end_clean() <?php $flag='…
HTB-Cache
靶机:10.10.10.188 在login.html的js源码中发现账号 登陆后来到author.html,这里好像有点脑洞,用crew生成字典,然后wfuzz找域名 cewl -w w.txt -d 10 -m 1 http://10.10.10.188/author.html wfuzz -w w.txt -H "HOST: FUZ…
thumbnail
WMCTF2020
Checkin1 神头鬼脸,应该是没过滤好,直接/flag就出了 Checkin2 预期解还是得写shell 因为"file_put_contents中可以调⽤伪协议,⽽伪协议处理时会对过滤器urldecode⼀次",所以可以二次编码特殊字符绕,如 php://filter/write=string.%2572ot13|<?…
2020天翼杯–APITest
时间是真的紧源码const express = require("express"); const cors = require("cors"); const app = express(); const uuidv4 = require("uuid/v4"); const md5 = r…
CyBRICS CTF 2020
Gif2png import logging import re import subprocess import uuid from pathlib import Path from flask import Flask, render_template, request, redirect, url_for, flash, send_from_…