半枫

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，直接看到源码，但是右键查看源码会更好一点， 1234567891011121314151617181920212223242526import flask # 导入Flask框架，用来创建网站import os # 导入操作系统模块，用来处理文件和环境变量app = flask.Flask(__name__) # 创建一个Flask网站应用app.config['FLAG'] = os.environ.pop('FLAG')#从环境变量中取出名为'FLAG'的值，把取出的值存到网站的配置中@app.route('/') # 当有人访问网站根目录时def index(): return open(__file__).read()# 打开当前文件并返回内容@app.route('/shrine/<path:shrine>')# 当访问/shrine/任意内容时def sh...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，注意到URL有两个GET传参img和cmd，我们先对img参数进行解码，TXpVek5UTTFNbVUzTURabE5qYz0base64解码MzUzNTM1MmU3MDZlNjc=，MzUzNTM1MmU3MDZlNjc=base64解码3535352e706e67，3535352e706e6716进制解码555.png，竟然是png文件，那通过img参数可不可以读取其他文件呢，index.php16进制编码696e6465782e706870，696e6465782e706870base64编码Njk2ZTY0NjU3ODJlNzA2ODcw，Njk2ZTY0NjU3ODJlNzA2ODcwbase64编码TmprMlpUWTBOalUzT0RKbE56QTJPRGN3，传入?img=TmprMlpUWTBOalUzT0RKbE56QTJPRGN3，将img表情里面base64后面的字段进行base64解码，获得源码，进行代码审计， 123456789101112131415161718192...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，是一个介绍购买的界面，看看源码， 12345678910111213141516171819202122232425function enc(code){ hash = hex_md5(code); // 调用之前定义的 hex_md5 函数计算 code 的 MD5 值 return hash; // 返回计算出的 MD5 哈希值（32位十六进制字符串）} function validate(){ // 获取页面上 ID 为 "vcode" 的输入框的值 var code = document.getElementById("vcode").value; // 检查输入是否为空 if (code != ""){ // 核心验证逻辑：计算输入值的MD5，并与硬编码的正确MD5进行比较 if(hex_md5(code) == &qu...

打开靶机，直接给我们源码，代码审计， 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849<?phpclass Modifier { protected $var; public function append($value){ include($value); // 危险操作：任意文件包含 } public function __invoke(){ //__invoke()：当对象被当作函数调用时自动触发 $this->append($this->var); // 触发文件包含 }}class Show{ public $source; public $str; public function __construct($file='index.php')
...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，注意到有三个页面BJDCTF，Flag（注入界面），Hint（提示界面），来到Flag界面，看到一个提交窗口，不是sql注入，看看Hint界面有什么提示，查看源码，提示和题目都有提到cookie，返回Flag，Cookie中有一个参数user，会不会是SSTI注入，确认为Twig的模板的SSTI，直接使用Twig模块注入的payload: 1{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 将Payload分成两部分来理解：{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag"...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，发现一个warning，提到了header，用Burp抓包看看请求头，没有发现什么有用的信息，用dirsearch扫描网站，访问robots.txt，访问fAke_flagggg.php，到这又卡住了，想起来header，这次有信息了，访问fl4g.php，看到源码了，但是有一些乱码，按住Alt键，网页上方会出现查看的选项，然后选择修复编码文字，进行代码审计， 123456789101112131415161718192021222324252627282930313233343536373839404142<?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);highlight_file(__file__);//level 1if (isset($_GET['num'])){ $num = $_GET['num']; if...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，查看源码没有发现有用的信息，划到页面最下方，有个发送信件的模块，随便写发送过去，发现url用GET传参，测试过了不是SQL注入，那就dirsearch扫描网站，发现是.git/泄露，使用Githack获取源码，进行代码审计， 123456789101112131415161718192021222324252627282930313233<?phpinclude 'flag.php';//文件中定义了$flag变量//$flag = file_get_contents('/flag');$yds = "dog";$is = "cat";$handsome = 'yds';foreach($_POST as $x => $y){ $$x = $y;}foreach($_GET as $x => $y){ $$x = $$y;}for...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，看到一行乱，F12查看源码和Burp抓包没有找到有用信息，用dirsearch扫描网站，发现了phpmyadmin，phpMyAdmin 是一套开源的、基于Web的MySQL数据库管理工具。可以通过URL打开，注意到他的版本号为4.8.1，通过网上搜索发现，这个版本的phpmyadmin在源码上存在文件包含漏洞，这是一个师傅对这个漏洞的讲解：https://blog.csdn.net/weixin_44037296/article/details/111039461我们这里主要看他漏洞的原理，漏洞位于index.php文件的文件包含逻辑中，具体在55-63行代码， 12345678910// If we have a valid target, let's load that script insteadif (! empty($_REQUEST['target']) && is_string($_REQUEST['target...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，发现一个登录页面，尝试sql注入，没有返回sql报错，不是sql注入漏洞，F12查看源码没有发现有用信息，Burp抓包看看，发现是xml语言传输数据，那就是xxe漏洞了，构造payload： 12345<?xml version="1.0" encoding="utf-8"?><!DOCTYPE note[ <!ENTITY admin SYSTEM "file:///flag"> <!-- 定义admin实体，猜测flag文件在根目录下 --> ]><user><username>&admin;</username><password>123</password></user><!-- 解析admin实体 --> 获得flag XMLXML（可扩展标记语言，eXtensible Mar...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，F12查看，Burp抓包都没有获得什么信息，使用dirsear扫描网站，可以看到有flag.php文件，但是没有文件可以通过URL下载，但是可以看到几乎全是/.git/目录下的文件，推测为git泄露，使用GitHack工具，我的是kali虚拟机root模式下下载的， 1git clone https://github.com/lijiejie/GitHack 这个支持python3环境，获得index.php源码文件，下面进行代码审计， 123456789101112131415161718192021222324252627<?phpinclude "flag.php";echo "flag在哪里呢？<br>";if(isset($_GET['exp'])){ //过滤伪协议（如 data://, php:// 等） if (!preg_match('/data:\/\/|filter...