L的博客

浅浅写一下wp吧，web差两题没有写出来，主要是因为，赛事时间太长，还要大二大三的老登太多了，没有拿奖的希望，就懒的打了。下面就写一下有些难度的吧，简单题就不写了。ezPOP这题难度不是特别高但是又两个算新又不是特别新的知识点第一个知识点就是 GC回收机制触发destruct首先我们来聊聊什么是GC回收机制。GC回收是一种销毁机制，又称垃圾回收机制。在PHP中，使用引用计数和回收周期来自动管理内存对象的，当一个变量被设置为NULL，或者没有任何指针指向时，它就会被变成垃圾，被GC机制自动回收掉那么这里的话我们就可以理解为，当一个对象没有被引用时，就会被GC机制回收，在回收的过程中，它会自动触发_destruct方法，而这也就是我们绕过抛出异常的关键点。 演示12345678910111213<?phpclass A{ public $B=1; public function __destruct() { echo "触发回收"; }}$A=new A();throw new Exce ...

又是做xy学到的。xy真是每一题都在学习。md5加密我们先聊聊md5加密。 加密过程我们会发现在md5加密后总是会输出一个128位的字符串，不管是多大的数据，因为md5是一个有损加密，这也就导致了我们认为md5加密不可逆。但是可以碰撞。至于其加密流程我直接先贴个图 填充加密的第一步就是填充。在进行md5加密时第一步就是填充，加密数据小于448位的数据会先先填充到448位填充的字符就是16进制的\x80\x00\x00\x00\x00。填充到448位最后的再写入64位的内容代表原数据的长度。补充到512位。如果数据大于512就补充道1024位。如果等于512也要补充到1024 分组加密md5的加密是将数据按512一组分成多组与初始的幻数加密12340x674523010xEFCDAB890x98BADCFE0x10325476初始幻数与第一组进行一系列复杂的运算，得到第二组幻数，第二组幻数再与第而做的数据进行运算，以此类推到最后一组得到的四个最终的幻数进行下面的操作就是得到的md5值假设最后得到的4组幻数都是0xabcdefgh那么首先两两分组得到1234ab cd ef ghab cd ...

这个帕鲁杯主要考的是应急响应，本人是一点不会，所以就写了几题web(写了前三题感觉难度不是特别大)和最简单的几题应急响应，由于其是靶机代理的形式搞得web靶机，web靶机一直掉（扫后台还慢）所以我web最后一题就懒的写了，就去玩应急响应了。web-签到123456789101112131415161718192021222324252627282930from flask import Flask, request, jsonifyimport requestsfrom flag import flag # 假设从 flag.py 文件中导入了 flag 函数app = Flask(__name__)@app.route('/', methods=['GET', 'POST'])def getinfo(): url = request.args.get('url') if url: # 请求url response = requests.get(url) ...

因为XY整体持续时间太长了，而且后面出的题目也越来越不做人。于是我就想着还是刷刷NSS学习学习吧。Unzip(ciscn)这道题目的主要学到的是关于软连接的知识。我先贴几篇文章https://www.cnblogs.com/crazylqy/p/5821105.htmlhttps://www.cnblogs.com/sueyyyy/p/10985443.html这篇文章讲的是软链接 前置知识软连接的概念软链接其实就是相当于windows的快捷方式而快捷方式其实就是一个指向对应路径或文件的一种文件，也就是说即使快捷方式在不同的电脑上只要路径存在其就会指向那个路径，软链接同理 软链接创造指令1234软链接ln -s source target硬链接ln source target 解题看道这题是文件上传那么我们可以很自然的想到上传一个一句话木马文件。但是我们通过扫后台看到的源码，可以看到其文件上传的位置在/tmp目录下123456789<?phperror_reporting(0);highlight_file(__FILE__);$finfo = finfo_open(FILEIN ...

感觉自己越来越懒了这个文件创建了很久，但是一直没有做好总结1.rce后拼接字符时绕过的方法在xy时我碰到了新的绕过方法，之前我有了解到可以使用#和短标签<?=?>来进行绕过，但这次比赛并不可以。于是我就在网上找到了这个新方法。 使用phar文件尾来截断代码，实现绕过。如标题当php文件在执行代码时遇到phar文件尾时效果与?>相似不会解析后面的代码也就不会出现后面的报错。我们可以发现即使在文件尾后面出现严重的语法错误也不会报错程序会正常运行那么在遇到如下代码时我们就可以尝试使用这个方法绕过12345$cmd=$_POST[cmd];if(preg_match("/#|<|>/",$cmd);){ die("nonono");}eval($cmd."lalalala");当遇到如上的题目即可使用该方法绕过1cmd=phpinfo();__HALT_COMPILER(); 2.在文件包含时使用php://filter伪协议的过滤器来任意构造字符串。hxp CTF 2021 - ...

这个清明闲着没事和队友偷偷跑去打福州大学的线上校赛。整体下来打的还是很开心的。福大的师傅人很好，发现我们是校外的也就只是让我们换个号打，不要交flag，整体下来题目对web手来说还是比较友好的，对PWN手可能就不太友好了。还是能学到不少的下面是wpping一下~签到题没什么好说的直接管道符加命令执行就可以了。 被你们玩坏了的ping和上一题相比只是没有回显而已，一开始我准备弹shell后面发现弹不了就直接DNS外带了。 吃掉小土豆福大的题目都是有给源码的，如果题目没有给哪个代审的工具网站那么难度是有的，但是给了，用工具可以一眼看出是sql注入，注入点是$_session[name]而session是在rank.php下直接GET传值的。在简单的手测后发现位报错注入 can_u_find_me?我们查看一下源码会发现404窗口的报错页面位模板注入。我们看一下waf12345def waf(s): for i in blacklist: if i in s.split('/')[-1]: return s + '?ha ...

哈哈哈哈水水博客写一写刷题学到的一些知识点[HDCTF 2023]YamiYami这道题目的前提知识点有点一点小多，也学到了不少知识 urlopen函数该函数的作用是打开一个url并进行重定向如下。我们可以看到网页并没有跳转但是成功查看到了百度的网页。而这个函数结合file伪协议是可以对系统的文件进行读取。如下我们可以看到其成功访问并且urlopen是可以解析url的地址的即file://后的地址可以转为url编码的形式。第一个/表示根目录不能url编码其他都可以。即我们可以将我们输入的文件地址转为url编码如/etc/passwd可以转为/%65%74%63%2f%70%61%73%73%77%64那么我们就可以采取这种方法对waf进行绕过。 PyYaml反序列化

这次NKCTF我可以算是打的非常差了。下面是我的一下反思和复现学习我的第一个CMS这题没什么好说的了。CVE什么都找到了，扫了两个字典弱密码没扫出来。悲啊。密码本已经换了气死了。字典里只有admin123没有Admin123。我看了一下网上的字典很多都没有Admin123。CVE-2024-27622直接admin登陆，之后按照cve进行代码执行就可以了 attack_tacooooo这题我们打开会发现为pgadmin4的8.3版本我们在网上可以查到其存在上传文件进行反序列化执行的漏洞。CVE-2024-2044 漏洞我们要先登陆后台。账号提示为tacooooo@qq.com密码我在打比赛的时候猜了出来为tacooooo。之后我们在进行文件上传上传文件的时候我们可以进行抓包发包后查看响应来查看文件上传的目录位置因为触发这个反序列化需要将session的的一部分改成文件路径如下/var/lib/pgadmin/storage/tacooooo_qq.com/posix.pickle之后再触发反序列化1234567891011121314import pickleimport osimpo ...

在NSS刷题的时候遇到了phar反序列化的题目我个人认为有必要学习一下这个漏洞因此写下这篇文章。前言我们都知道一般的php反序列化都需要一个参数可控的unserialize函数。这就导致反序列化的条件可以说非常的苛刻。但是在18年的blackhat大会上Sam Thomas 分享了 File Operation Induced Unserialization via the “phar://” Stream Wrapper ，该研究员指出该方法在 文件系统函数 （ file_get_contents 、 unlink 等）参数可控的情况下，配合 phar://伪协议 ，可以不依赖反序列化函数 unserialize() 直接进行反序列化的操作 原理phar是将php文件打包的一种压缩文档，其类似于java的jar包。其特点是会以序列化的形式将用户自定义meta-data进行存储。当我们使用phar://伪协议读取该文件时，meta-data就会进行反序列化。这时候就会产生反序列漏洞。 构造phar文件12345678910111213141516<?phpini_set( ...

实在不知道干点什么了，正好之前抽到NSS的vip，刷刷题，学习学习。[CISCN 2019华北Day2]Web1(盲注)陈年老题了，打开就提醒我们注入，把表和列名都说了。那么我们尝试一下就会发现可以进行异或注入并且过滤了空格。我们可以使用%0a或者括号来绕过，之后就是布尔盲注了exp1234567891011121314151617181920212223242526import requestsimport timeurl = "http://node4.anna.nssctf.cn:28454/index.php"payload = {"id":""}flag = ""for i in range(1, 150): time.sleep(0.06) low = 32 high = 128 mid = (low + high) >> 1 while low < high: payload["id"] = ...