Xi4or0uji's blog

Xi4or0uji's blog

open_basedir bypass
前言之前在出国赛题的时候,设置open_basedir的时候突发奇想,可不可以绕过open_basedir呢,谷歌了一波,发现确实有不少的tricks,遂来总结一波 DirectoryIterator + Glob列目录DirectoryIterator是一个php提供的用于查看文件系统目录的一个接口,调用它是可以直接看到文件目录的,但是如果我们设置了open_basedir的时候,用它列举不允许的目录,就会直接导致服务器500glob是自php5.3起用来查找匹配的文件路径模式的一个流包装器当他们组合一起的时候就很炫了12345678910111213141516<?phpp...
sixstarCTF web 学习
前段时间忙着国赛出题,没认真打这场比赛,补坑辣 WEBmywebsql这道题目考了mywebsql的一个cve还有信号处理??坑点啊首先我们可以先弱口令admin/admin登录进去,然后就是谷歌做题了2333https://nvd.nist.gov/vuln/detail/CVE-2019-7731https://github.com/eddietcc/CVEnotes/blob/master/MyWebSQL/RCE/readme.md大概操作是创建一个表在里面写一句shell,再备份数据库就可以成功写到一个shell了首先我们创建一个表,并在数据库中插入一句小马接着导出数据库...
反射
前言前段时间的国赛考到了这个东西,肉鸡就来总结一下了 reflection in PHP在php运行的时候,反射可以对类、接口、函数、方法或扩展进行反向工程,此外,还可以取出函数、类和方法中的文档注释。 简单的demo下面放一个简单的demo,简单看一下反射是怎样实现的12345678910111213141516171819202122232425262728<?phpclass test{ private $test = "Ariel"; private $value = "Xi4or0uji"; private function get()...
CONFidence CTF的一道题
这道题是之前在看先知的文章看到了,看了一下发现有点有趣,记录一下 题目地址:http://web50.zajebistyc.tf/预期解是svg xss,非预期是缓存投毒首先我们先看一下题目,进去是登录框,随便乱填就可以进去进去以后有一个头像上传的地方和secret的值,猜测应该是拿到管理员的secret值,然后利用点应该就是头像上传的地方了 SVG XSS在测试的过程中发现可以上传任意后缀的文件,但是文件头必须是图片格式且尺寸只能是100*100,而且上传html文件时发现服务器会将文件当做图片解析,因此后台应该是根据文件头去进行解析的,所以我们可以找一个可以进行xss的图片,...
2019 全国大学生信息安全竞赛 writeup
上周末跟队友打了一场国赛,题目质量还是不错的,记录下wp misc签到摄像头检测到三个人头就行了 saleae百度logicdata,发现有个工具,打开就是一些波形,直接对着时钟位读二进制转成ascii码就能出flag了flag{12071397-19d1-48e6-be8c-784b89a95e07}然后无敌头铁王第二天发现SPI通道直接就会转字符了,第一天手撕是真的头铁…… usbasp还是SPI通道,将标准位调高就直接出flag了 webjustsoso一开始伪协议拿到源码,然后就是反序列化利用了123456789101112131415161718192021222...
2019 DDCTF web writeup
这一届的比赛web题虽然脑洞略大,但是还是有很多收获的,记录一下 滴一题大脑洞题……首先进去题目看到参数jpg后面有段字符串,很像base64尝试一下base64解密,又出来一段base64,再解密一次是十六进制,转成字符串是flag.jpg在这里我们可以猜测一下后台可能会读文件出来,我们倒序加密一下index.php去请求看一下回应确实可以拿出index.php的源码12345678910111213141516171819202122232425<?php/* * https://blog.csdn.net/FengBanLiuYun/article/details/806...
2019西湖论剑web writeup
比赛的时候刚好清明回家所以上线时间巨短,做了几个水题就比赛结束了2333,比赛一结束主办方就关环境只能口胡了……. 猜猜flag是什么扫一下后台能扫到ds_store泄露,恢复一下有1234yingyingying文件夹index.phpflage10adc3949ba59abbe56e057f20f883e 访问flag提示没有那么容易拿到flag,接着去扫e10adc3949ba59abbe56e057f20f883e居然还有.git泄露……..然后还原出来一个zip压缩包,index.php和lengzhu.jpg,刚好压缩包里面也有lengzhu.jpg,因此可以知道是明文...
rips 2017
之前群里大佬说复现完了ph牛的code breaking可以去rips看一下,然后就去了 wish list
code breaking thejs
菜鸡继续跟着师傅们复现(捂脸这道题利用了lodash实现了一个ejs引擎,在请求的时候进行渲染,师傅们说了是merge有问题,去查看源码在测试过程中发现merge会直接将注入原型的属性的值写去最底层的object,因此只要创建一个对象,都会在原型属性中找到注入的对象在template函数中我们可以找到利用点1234var result = attempt(function() { return Function(importsKeys, sourceURL + 'return ' + source) .apply(undefined, importsValues);&#...
2019 0ctf wp
babyrsa首先pubkey.py可以看到n的值1234from sage.all import GF, PolynomialRingP=PolynomialRing(GF(2),'x')e = 31337n = P('x^2048 + x^2046 + x^2043 + x^2040 + x^2036 + x^2035 + x^2034 + x^2033 + x^2031 + x^2029 + x^2025 + x^2024 + x^2022 + x^2019 + x^2018 + x^2017 + x^2012 + x^2007 + x^2006 + x^2004 + x^2000...
avatar
Xi4or0uji
一只还在路上的小蒟蒻的博客
FRIENDS
Twings HACHp1