ctfhub-URL伪协议 URL伪协议:file:// 本地文件传输协议,File协议主要用于访问本地计算机中的文件,就如同在Windows资源管理器中打开文件一样dict:// Dict协议,字典服务器器协议,dict是基于查询响应的TCP协议,它的目标是超越Webster protocol,并允许客户端在使用过程中访问更多字典。Dict服务器和客户机使用TCP端口2628gopher:// Gopher协议是互联 2021-11-07 CTFHUB CTF
ctfhub-内网访问 打开题目 强调访问127.0.0.1/flag.php打开环境地址为http://challenge-e7aed46229f00f03.sandbox.ctfhub.com:10800/?url=_末尾存在url=猜测可能加上url=127.0.0.1/flag.php(去掉第一个_) 得到flag 2021-11-07 CTFHUB CTF
攻防世界-NaNNaNNaNNaN-Batman 下载附件 直接打开一段乱码,改为html尾,打开出现一个输入框。搜索发现说改为aert,弹出框框发现代码内容‘’’function $(){vare=document.getElementByld(“ c”).value;if(e.length==16)if(e.match(/^be0f23/)!=null)if(e.match(/233ac/)!=null)if(e.match(/e98aa$ 2021-11-07 攻防世界 CTF
攻防世界-unserialize3 一.根据题目猜测这道题应该和反序列化漏洞有关1.先了解一下什么是序列化和反序列化当在php中创建了一个对象后,可以通过 serialize() 函数把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。与 serialize() 相反的就是反序列化函数 unserialize() ,它可以将一个字符串转变为相对应的php对象。 在序列化过程中会用到的函数: construct(): 2021-11-07 攻防世界 CTF
攻防世界-NewsCenter 环境http://111.200.241.244:62361 打开发现为一搜索框,输入1,2,3没反应,了解到可能为xss或者sql注入。 测试测试发现’闭合,输入-1’ union select 1,2,3#回显2,3. 测试利用2,3回显点直接注入。database()先得到数据库名称。得到表名。得到列名得到列内内容 sqlmap 抓包获取请求包,保存为1.txt文件直接查看news 2021-11-07 攻防世界 CTF
uplads1 上传一个php文件显示只能上传jpg.png.gif文件,打开代理,在抓包之前就显示上传限制,初步确定为前端检测过滤,右键查看源码,发现存在javascript代码起到过滤作用。1234567891011121314151617181920<script type="text/javascript"> function checkFile() { 2021-10-06 uplads 文件上传
RCE-文件包含 打开题目php代码没学过,但可以看出大概是file传入一个值是flag就显示Hacker!!! 探索下面有一个shell点击看看。进入了shell.txt 看样子需要一个ctfhub参数。 php函数system本文介绍了php函数system(),exec(),passthru()的区别与详细用法,有需要的朋友参考下。php提供了system(),exec(),passthru()这几个函数 2021-10-01 CTFHUB CTF
文件头检查 题目打开是一个文件上传。 测试上传.php文件显示只能上传.jpg .png .gif类型文件。上传.jpg .png .jif文件显示文件错误。也不知道错在哪我c连正常jpg都不能上传??? 更不用说上传图片马了 都显示文件错误。 上传图片抓包加入一句话不行,上传在制作的图片马不行,上传.cer也不行….. 这个问题把我搞得懵懵逼(*゜Д゜)σ凸←自爆按钮 搜索wp多数为上 2021-09-28 CTFHUB CTF
misc-stegano 题目 题目描述显示为PDF格式,提交格式flag{xxx},解密需要小写。 下载附件 打开PDF 打开PDF发现为英文文章,首先进行翻译。 翻译结果是一堆人名。无情——— 解决 经过一系列操作无果,最终查找wp发现提供思路是复制内容到notpad++。复制粘贴后发现确实多了两行A、B组成的内容。 根据提示显示将A替换成-,将B替换成.(尝试了A换为.B换为-)。直接复制解码发现解密失 2021-09-28 攻防世界 CTF
view_source 打开题目 题目描述x老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用。 打开题目发现,鼠标右键不能使用。由于题目提示查看网页源代码,使用f12查看网页源码。 在网页源代码中发现flag! 2021-09-24 攻防世界 CTF
