10.15
[MRCTF2020]Ez_bypass
1.强比较绕过:a[]=1&b[]=2
2.有关is_numeric():用来判断是否为数字或者数字字符串,是为True,否为False,可以使用%00来进行传入,%00无论放在何处都为非数值,%20只能放在数值之后。
网址:https://www.cnblogs.com/xhds/p/12312223.html[GXYCTF2019]禁止套娃
1.githack使用方法:python githack.py 网址
2.无参数RCE:使用不带参数的函数套娃来拿flag
3.scandir(.)函数可以用来扫描当前目录下的文件。current(localeconv())永远都是个点,所以通过构造可以扫描目录。current可以用pos代替。
4.array_flip()函数:交换数组的键和值,array_rand()函数:返回数组中的一个随机键名。构造array_rand(array_flip)具有随机性,需要多次请求才可以。
5.array_reverse()函数:将数组以相反的顺序返回。于是可以利用该函数加上next()函数输出flag.php。
6.session_start()指定php使用session,然后使用session_id()函数获取session,因为在PHPSESSID中可以有数字和字母出现。
7.在cookie中加入PHPSESSID=flag.php,然后利用session_id(session_start)就可以获取flag,可以利用file_get_contents()、readfile()、highlight_file()、show_source()中的函数进行读取。10.18
[GXYCTF2019]BabyUpload
1.常规文件上传,使用.htaccess文件,不过在此处过滤了jpg,使用png文件。[安洵杯 2019]easy_web
1.sort /flag读取flag。sort:sort将文件的每一行作为一个单位,相互比较,比较原则是从首字符向后,依次按ASCII码值进行比较,最后将他们按升序输出。
2.由于对\的过滤没有做好,可以使用ca\t fl\ag的方式读取flag
2.md5强碰撞:a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2[BJDCTF2020]Mark loves cat
链接:http://hammerking.top/index.php/archives/4/[GWCTF 2019]我有一个数据库
1.没有思路,搜索得知是(CVE-2018-12613)后台任意文件包含漏洞,payload:target=db_datadict.php%253f/../../../../../../../../etc/passwd,在本题中是flag的位置,于是修改payload为:target=db_datadict.php%253f/../../../../../../../../flag
评论 (0)