buuctf

考点：SSTI的Twig模板注入 尝试多次后（别人），发现是SSTI注入 输入`{{7*7}}`和`{{7*'7'}}`，返回的结果是 ![](https://img2023.cnblogs.com/blog/2539847/202309/2539847-20230901140557428-9074 ......

1. 目录扫描 扫出来了**robot.txt**，该文件规定了搜索引擎抓取工具（爬虫）可以访问您网站上的哪些网址，主要用于管理流向您网站的抓取工具流量，通常用于阻止 Google 访问某个文件。 ``` User-agent: * Disallow: /fAke_f1agggg.php ``` 访 ......

一进入环境，毫无头绪。 使用`dirsearch`扫出了`/.git/`，可以猜出本关一定与git源码泄露有关。 `python .\dirsearch.py -e * -u http://7cb1db04-980a-4af8-856b-7f6cd5ea231d.node4.buuoj.cn:81/ ......

文件包含漏洞，和SQL注入等攻击方式一样，文件包含漏洞也是一种注入型漏洞，其本质就是输入一段用户能够控制的脚本或者代码，并让服务端执行。 什么叫包含呢？以PHP为例，我们常常把可重复使用的函数写入到单个文件中，在使用该函数时，直接调用此文件，而无需再次编写函数，这一过程叫做包含。 有时候由于网站功能 ......

XXE漏洞原理：发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起DOS攻击等危害。XXE漏洞触发的点往往是可以上传XML文件的位置，没有对上传的XML文件进行过滤，导致可上传恶意XML文件。 * DOCTYPE（ ......

进入网站观察到`http://71882873-f81e-4755-8040-5e7bb6b2230f.node4.buuoj.cn:81/index.php?category=woofers` 先尝试读取一下index.php，没有反应。 试试php伪协议，payload：`?category=p ......

题目是登陆页面，查看源码，发现一个连接`Download?filename=help.docx`，跳转到帮助文档。 点击help也可以跳转到帮助文档。 帮助文档内容为`java.io.FileNotFoundException:{help.docx}`，是java语句，帮助文档不存在。 ## WEB ......

1. 判断过滤哪些关键词和字符 使用Burp Suite的Intruder，字典内容就是常见的SQL注入的一些函数名、符号等。 buuoj有访问限制，访问太快会提示429 Too Many Requests，所以，需要设置一下延时。 ![](https://img2023.cnblogs.com/b ......

```php ?php if(isset($_GET['ip'])){ $ip = $_GET['ip']; if(preg_match("/\&|\/|\?|\*|\|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match); die("fxck your symbol ......

首先进入网站，是一个登录框，使用admin尝试一下。 之后对登录框做了一些常规的SQL注入也都是do not hack me! 但在登录后跳转的search.php页面的源代码中发现一段编码。 > MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJW ......

## 判断过滤哪些关键词和字符 ## 报错注入 报错注入在没法用union联合查询时用，但前提还是不能过滤一些关键的函数。 报错注入就是利用了数据库的某些机制，人为地制造错误条件，使得查询结果能够出现在错误信息中。这里主要记录一下`xpath语法错误`和`concat+rand()+group_by ......

## 寻找破解知识点 ## 方法1 - Flask session伪造 首先，先注册一个再登录，在change password那里查看源码，可以看到有提示： ![](https://img2023.cnblogs.com/blog/2539847/202308/2539847-2023082820 ......

1. 判断传参方式，输入`1' or 1 = 1`，URL传参，所以是`get`。 报错```error 1064 : You have an error in your SQL syntax; check the manual that corresponds to your MariaDB se ......

一、题目链接 https://ctf.bugku.com/challenges/detail/id/87.html?id=87& 二、解法步骤 打开网页，发现自动给url上了参数：， line的值为空，filename是base64加密格式，解密后为：key.txt。 首先尝试更改line=1,、2 ......

一、题目链接 https://buuoj.cn/challenges#[HCTF%202018]admin 二、解法步骤 本题页面十分简单， 在源代码中发现： 猜测需要用admin进行登陆，如果在注册模块用admin进行注册的话，会提示已被注册，那么可以肯定与admin有关。 在登陆页面用弱口令试试 ......

一、题目链接 https://buuoj.cn/challenges#[%E6%8A%A4%E7%BD%91%E6%9D%AF%202018]easy_tornado 二、解法步骤 本题一共给了三个文件： 同时发现，打开不同的文件url的格式都是差不多的：file?filename=xxx&file ......

对题目分析： if ( Msg == 517 ) { if ( strlen(String1) > 6 ) // String位数小于等于6 ExitProcess(0); if ( strlen(String1) ) { memset(v17, 0, sizeof(v17)); v6 = strl ......

一、题目链接 https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]Secret%20File 二、解法步骤 打开网页： 看看源码： 访问下： 继续看源码： 继续访问： 发现并没有跳转到ac ......

打开靶机显示 啥都没有，先去查看robots.txt 发现 之后再fake里面请求头中发现fl4g.php 最后绕过三层php限制 第一关 intvar 可以解析科学计数法 所以传入 1e4 第一个截断解析为1 第二个加一解析为10001 payload：num=1e4 第二关 只要是0e开头md5 ......

### babyheap_0ctf_2017 **堆溢出，extend overlap，unsortedbin leak，fastbin attack** edit选项可以随意溢出堆块，通过扩展堆块造成重叠，把后面一个bins的fd给打出来，从而泄露libc，通过fastbin attack将mal ......

simple Cpp 有两个难点，第一个就是字节叠加的判断，第二个是一堆莫名其妙的运算的化简 还有一些其他稀碎的难点，例如第一次加密，以及程序流程的分析 整个程序很长，分析出flag的流程比较麻烦 比较常规的异或加密 判断长度 字节叠加的操作，第一次见 特征就是会不停累加，并且有左位移的操作 这里是 ......

[安洵杯 2019]crackMe 程序异常处理的一题，刚开始还以为是双线程（），因为input和hook的弹窗这两个函数之间没有跳转的关系。 在动调的过程中，没发现是异常处理，就把跳转进异常处理的汇编给nop掉了，有点蠢哈哈哈哈哈 跟踪main()函数无果的情况下，通过跟踪关键字符串，然后通过交叉 ......

最近学习了一下SSTI，用这个题目来试试手 SSTI原理：WEB应用中模板的引用存在可变变量 由于有一个渲染函数flask.render_template_string() 所以可以判断这是一个SSTI的考点 然后观察代码，这个代码需传入一个shrine的值，然后这个对传入的值进行了“（）”的过滤， ......

## test_your_nc nc连上去就是一个shell ## pwn1 **gets栈溢出，ret2text** 打远程的时候遇到如下报错，原因可能有两个 ``` timeout: the monitored command dumped core ``` 一是get_flag后未正常退出，需 ......

## php反序列化字符逃逸 ### **easy_serialize_php** 拿到源码： ```php source_code'; }//如果!$function为空的话输出刚开始的页面，也就是帮助页面 if(!$_GET['img_path']){//$_GET['img_path'] 为空 ......

### 写在前头 本题来自安洵杯2019 crackMe，涉及到的知识点较多，Mark一下 ### 分析 #### 从main开始 反编译main函数，9行这里触发了一个内存写异常，有点奇怪哈 ![](https://img2023.cnblogs.com/blog/2997171/202306/2 ......

### 换表的base64解密 ``` import base64 import string str1 = "x2dtJEOmyjacxDemx2eczT5cVS9fVUGvWTuZWjuexjRqy24rV29q" string1 = "ZYXABCDEFGHIJKLMNOPQRSTUVWzyx ......

一道用.NET写的扫雷题，题目不难，但很有意思，每个逆向爱好者都有一颗破解扫雷的心，我认真把整个程序都逆了一遍，再加上目前在网上看到的解法都需要patch程序，所以我写了这篇笔记，展示了一种不需要修改任何程序的解法 ......

查看程序信息 Detect It Easy查看程序信息，发现是64位应用且未加壳 反编译文件 使用IDA打开，shift+f12检索程序里的字符串，发现this is the right flag!，双击查看，发现被main_0函数引用 双击main_0函数查看 F5查看伪代码 int __cdec ......

ida64打开，查看伪代码 unsigned __int64 Decry() { char v1; // [rsp+Fh] [rbp-51h] int v2; // [rsp+10h] [rbp-50h] int v3; // [rsp+14h] [rbp-4Ch] int i; // [rsp+1 ......