记一次参加CTF比赛翻车记! 开始还是挺有信心的,毕竟也是经常打一些CTF锻炼,然而比赛发现大佬们平时不显山不漏水的一比赛全出来了!赛后看了一下各题的writeup发现自己的确技不如人啊!借鉴一个案例拿出来分析一下! 正言: 这是入口界面登录+注册,开始注册 ...
连接:http: ctf .shiyanbar.com web PHP index.php 根据题目应该就是代码审计得题,进去就是 日常工具扫一下,御剑和dirsearch.py 无果 抓包,发现返回得响应头里面有提示 访问则拿到源码。。 有次听培训有个学长说,做代码审计看代码顺序,先去找flag在哪儿,快速找到直接从那儿开始看。 intval 返回变量得整数值 strrev 这个函数让字符串反序 ...
2019-06-16 18:09 0 1331 推荐指数:
记一次参加CTF比赛翻车记! 开始还是挺有信心的,毕竟也是经常打一些CTF锻炼,然而比赛发现大佬们平时不显山不漏水的一比赛全出来了!赛后看了一下各题的writeup发现自己的确技不如人啊!借鉴一个案例拿出来分析一下! 正言: 这是入口界面登录+注册,开始注册 ...
0x01 代码审计中的信息收集 一个cms代码量确实不少,通读代码耗时长,效果也不一定好.而一个功能点如果之前出过漏洞,特别是多次出现漏洞的地方,证明开发者对这个漏洞的理解不充分,很容易再次绕过补丁.这样,一整个CMS的代码审计就可以降维到一道ctf题目.特别是对于经常参加ctf的各位大佬来说 ...
CTF PHP代码审计之常见Hash总结 -https://www.cnblogs.com/iAmSoScArEd/p/14825040.html 我超怕的 一、MD4 1.1 $a=md4($a) 解决: url?a=0e251288019 url?a=0e898201062 ...
这道题不是说太难,但是思路一定要灵活,灵活的利用源码中给的东西。先看一下源码。 ...
新手审计cms BlueCMSv1.6 sp1 这个cms有很多漏洞所以来审计一波。。做一手记录 漏洞一:SQL注入: 可以通过网上大佬的方法用法师大大的seay工具,也可以用phpstroml来审计 1、通过seay或者phpstrom来搜索经典的传参方式$_GET、$_POST ...
进入页面,发现按钮点了没有反应,切换页面都提示要先注册 发现注册不了,这时候查找了robots.txt文件,发现了.git文件夹 这是.git泄露了,使用GitHack把文件下载下来 经过查看发现这里面需要用到config.php文件和api.php文件 审计api.php代码 ...
PHP 代码审计代码执行注入 所谓的代码执行注入就是 在php里面有些函数中输入的字符串参数会当做PHP代码执行。 如此的文章里面就大有文章可以探究了 一 常见的代码执行函数 Eval,assert,preg_replace Eval函数在PHP手册里面的意思是:将输入 ...
challenge 1 源码 python脚本 binascii模块用来进行进制和字符串之间的转换 base64模块是用来作base64编码解码 [::-1]取反,这里-1为步长 ...