Xi4or0uji's blog

Xi4or0uji's blog

code breaking lumenserial
小菜鸡太菜了,只能复现 题目先审计源码,可以看到EditorController.php有个download函数12345678910111213private function download($url){ $maxSize = $this->config['catcherMaxSize']; $limitExtension = array_map(function ($ext) { return ltrim($ext, '.'); }, $this->config['cat...
code breaking easy
前言这个是知识星球里面的一个比赛,一开始的时候事情多,没及时做,最近刷ph牛的文章看到这个比赛,找来复现一下 function题目function这题是一个php代码审计题,题目很短123456789<?php$action = $_GET['action'] ?? '';$arg = $_GET['arg'] ?? '';if(preg_match('/^[a-z0-9_]*$/isD', $action)) { show_source(__FILE__);} else { $action('', $arg);} 可以看到,...
2019GWHT考核题wp
本来想着招新完讲完题就不用题解了,但是看见有些小朋友还是很懵逼,补上一篇 WEBweb签到题网址:http://xiaorouji.cn:2334/web1/这道题其实考察的是对http头的各种操作还有抓包,首先进去题目看到一堆骚话,完了以后就是问do you know GWHT browser?,很明显是要我们改访问的浏览器,接着是only accept www.gwht.com to visit this website,修改访问网站,然后you are not the localhost, prprprpr,要求本地访问,然后就是i only know Spanish........
利用mysql local infile读取客户端文件
这个利用点是之前补hgame的题看到的一个考点,记录一下 MySQL LOAD DATA INFILE简介先看一张官方文档的图可以看到,握手阶段中会:1234客户端和用户端交换各自功能根据需要创建SSL通道接收客户端的回应验证客户端身份进行通信 我们在linux里面tcpdump一下抓取数据包tcpdump -i lo -w mysql.pcap port 3306,然后连接mysql看下数据包可以看到登录的数据包里面有个Can Use LOAD DATA LOCAL开启了,只要开启了这个,就可以将运行mysql客户端的主机的文件传输到远程服务器中而load data infile这...
2019 hgame week4
happy python这题就是很普遍的session伪造,首先在url后面加49发现确实可以执行,但是测试一下发现过滤了括号,所以想直接ssti是很难的了解密一下session猜测是不是将user_id改成1就能以admin的身份登进去,现在就要想办法拿到secret_key了尝试了一下,发现url_for还在,就用url_for去拿secret_key,payload如下1url_for.__globals__['current_app'].config 然后得到回显1<Config {'ENV': 'production', 'DEBUG': False, 'TES...
2019 hgame week3
神奇的md5扫到泄露拿到swp文件,恢复12345678910111213141516171819202122<?phpsession_start();error_reporting(0); if (@$_POST['username'] and @$_POST['password'] and @$_POST['code']) { $username = (string)$_POST['username']; $password = (string)$_POST['password']; $code = (st...
2019安恒杯二月赛
WEBmy email这题进去首先是一个注册的页面,然后登录进去后要你完善信息,也就是填一个邮箱和验证码,这里有个小坑点就是,虽然我们乱填他会说我们填的信息有误,但是再次访问发现我们的信息已经完善了,也就能进行下一步了进去以后看到有个更改背景的功能,尝试一下改了图片发现会1234567body{ background-image: url(./user/roujiji.jpg); background-size: 100%,100%; width: 100%; height: 100%;}#roujiji是注册的用户名 所以可以猜测是将图片命名...
imap_open()实现远程任意代码执行(CVE-2018-19518)
这个漏洞是在做题的时候看到的,顺便复现一下,漏洞影响版本有ubuntu、debian、redhat和suse 简单介绍这个漏洞因为imap_open函数在传递邮箱名给ssh之前没有正确过滤邮箱名,导致攻击者可以利用-oProxyCommand参数向IMAP服务器发起命令执行恶意代码 复现装环境1apt updata && apt install -y nano php php-imap 接着安装ssh和strace12apt install -y sshapt install -y strace 接着加一点安全配置,增加php的安全性123echo ‘; prio...
MongoDB注入
之前做比赛题经常会遇到mongodb注入,每次都一知半解一脸懵逼,总结一下 MongoDB概括记下增删改查(php5) 直接调用类方法1234567$mongodb = new mongoclient(); //建立连接$db = $mongodb->myinfo; //选择数据库$coll = $db->test; //选择集合$coll->save(); //增$coll->find(); //查$coll->remove(); //减$coll->update(); //改 execute方法1234567$monggdb ...
2018 Tokyo Westerns CTF
WEBSimple Auth首先可以拿到源码1234567891011121314151617181920212223242526272829303132 <?phprequire_once 'flag.php';if (!empty($_SERVER['QUERY_STRING'])) { $query = $_SERVER['QUERY_STRING']; $res = parse_str($query); if (!empty($res['action'])){ $action = $res['action']; &#...
avatar
Xi4or0uji
一只还在路上的小蒟蒻的博客
FRIENDS
Twings HACHp1