梦~醒🍇

发表于 2025-01-20 | 更新于 2025-01-21 | CTF | misc姿势

一、完整的明文文件要达成明文攻击需要注意以下三点 ①完整的明文文件 ②明文文件需要被相同的压缩算法标准压缩（也可理解为被相同压缩工具压缩） ③明文对应文件的加密算法需要是 ZipCrypto（ZipCrypto又分为ZipCrypto Deflate/ZipCrypto Store）使用ARCHPR进行明文攻击破解时长应该不超过5分钟，运行至5分钟左右可以手动停止，ARCHPR会跳出来破解出的三个key。当然，这个结果并不是压缩包的密码，而是一个去除密码的压缩包xxx_decrypted.zip，把这个文件直接解开就可以了。用以上方法需要已知一整个明文文件。二、已知一部分明文使用rbkcrack只需要知道加密压缩包内容的连续12个字节，即可进行攻击破解。同时，结合各类已知的文件格式，更扩宽了ZIP已知明文攻击的攻击面。 rbkcrack下载地址： https://github.com/Aloxaf/rbkcrack rbkcrack常用参数 1234567-C 加密的压缩包-c 压缩包内加密的文件-p 明文内容-k 输入key-o 偏移量-d 攻击完成后导出解密文件-u ...

2024年春秋杯网络安全联赛冬季赛wp-1.19

发表于 2025-01-19 | 更新于 2025-01-22 | CTF | 比赛wp

[TOC] web easy_php 考点：文件上传绕过，截断，源码审计打开网站后，可以下载源码，先下载源码，然后再扫一下网站目录配合源码审计，审计过程省略。其中在文件上传的目录下已经有文件了，再结合提示可以知道，不用再自己上传文件。那么就需要触发文件，看这里代码可以知道在/file.php页面中可以进行url的get传参，然后会将参数值过滤后进行高亮，触发反序列化链。但是这里的过滤中，是f1ag而不是flag，所以其实没有过滤flag关键词。因此结合源码，直接构造payload: 1?file=/flag 1flag{a16dcb7549915546893a27a6d7927615} easy_code 考点：利用PHP特性绕过，filter伪协议访问/robots.txt 可以看到有 gogogo.php ctfer 参数有三个检测，只需要用科学计数法，PHP 会自动四舍五入 1ctfer=6.66999999999999999999999999999999999999999e2 Hackbar 里设置 cookie 为 p ...

2024年春秋杯网络安全联赛冬季赛wp-1.18

发表于 2025-01-18 | 更新于 2025-01-18 | CTF | 比赛wp

Weevil’s Whisper 考点：流量分析，代码审计下载附件，进行流量分析，看到上传的代码进行代码审计可以知道，在http中的返回结果是由$p$kh$r$kf组成的，而$p,$kh,$kf是固定的，所以可以提取出来$r。再看代码，$r是$o进行一系列加密而成，而$o就是执行完成后返回的结果，所以只需要写脚本反解$r就能出现结果。 exp: 提取$r的脚本： 123456789101112131415161718192021222324252627282930313233343536373839404142import re# 示例字符串列表strings = [ "lFDu8RwONqmag5ex45089b3446eeSaoCUFRXAGExNS5kaQ==4e0d86dbcf92", "lFDu8RwONqmag5ex45089b3446eeSaoCUVRSBofUNDFgR2Uu4e0d86dbcf92", "lFDu8RwONqmag5ex45089b3446eeSaoyZWJkN2U=4e0 ...

hashcat常规使用方法

发表于 2025-01-17 | 更新于 2025-01-18 | CTF | web姿势

-m hash的类型指定hash的加密类型，默认是MD5类型在对应的类型前面有它的id,可以通过id来指定类型当我们想要找一个类型在hashcat支不支持的时候，例如windows系统加密的是NTML,可以执行命令 hashcat64.exe -h | findstr NTLM 可以看到NTLM的ID号为1000 -a 攻击方式破解密码的方式分别有: highlighter- 1c 123450 | Straight 字典破解1 | Combination 组合破解3 | Brute-force 掩码破解6 | Hybrid Wordlist + Mask 混合字典 + 掩码7 | Hybrid Mask + Wordlist 混合掩码 + 字典掩码当没有字典的时候，可以使用掩码指定密码的每一位是什么类型的字符，首先我们知道密码有多少位例如:?d?d?d?d?d?d?d?d代表密码为8为数字，?u?l?l?l?l?d?d?d代表密码为7位，首个字母大写，然后四个小写字母，最后三个数字破解windows hash密码使用字典爆破windows ha ...

2024年春秋杯网络安全联赛冬季赛wp-1.17

发表于 2025-01-17 | 更新于 2025-02-19 | CTF | 比赛wp

[TOC] web easy_flask 考点：ssti 注入打开网页，发现有个登录，试试直接登录看到 url 处是进行 get 传参，试试 111 联想到 ssti 漏洞，于是用9验证一下，发现就是 ssti 模板注入进行 ssti 模板注入漏洞一系列，构造 payload: 1{{cycler.next.__globals__.__builtins__.__import__('os').popen('cat flag').read()}} flag{48ad0cde8345c8b2608933ac4e85147e} file_copy 考点：无回显，filter协议根据代码，可以看到是post传参，参数是path。（抓包也可以看）直接使用脚本（https://github.com/ProbiusOfficial/PHPinclude-labs/tree/bbb08b030623d481be51edea063433b8d77b2ee7/Level 17/php_filte ...

解决hexo引入图床，手机和web不显示图片的问题

发表于 2024-12-01 | 更新于 2025-05-18 | 问题解决笔记 | 问题解决笔记

0.前言 hexo引入图片的方式有很多种：从本地文件加载，方法参见参考文献一。使用图床，markdown中直接引用图床的链接。 1.问题描述 Hexo使用图床的方式加载在blog中加载图片，会在非本人的电脑或者手机端报“html访问图片资源403问题(http referrer)”，导致采用图床方式加载的图片全部无法加载。 2.问题原因 http请求体的header中有一个referrer字段，用来表示发起http请求的源地址信息，这个referrer信息是可以省略但是不可修改的，就是说你只能设置是否带上这个referrer信息，不能定制referrer里面的值。服务器端在拿到这个referrer值后就可以进行相关的处理，比如图片资源，可以通过referrer值判断请求是否来自本站，若不是则返回403或者重定向返回其他信息，从而实现图片的防盗链。上面出现403就是因为，请求的是别人服务器上的资源，但把自己的referrer信息带过去了，被对方服务器拦截返回了403。在前端可以通过meta来设置referrer policy(来源策略)，具体可以设置哪些值以及对应的结果参考这 ...

命令执行过滤关键字

发表于 2024-11-30 | 更新于 2024-12-02 | CTF | web姿势

过滤关键字反斜杠绕过 ca\t y1n\g.php 两个单引号绕过 cat y1''ng.php base64编码绕过 echo “base64编码” | base64 -d | bash hex编码绕过 echo "hex编码" | xxd -r -p | bash 用[ ]进行匹配 cat y1[n]g.php 用* 匹配任意 cat y1n* 用?匹配任意 cat y1n? 用{ }匹配范围 cat y1{a..z}g.php 变量 $a=fl;$b=ag;cat $a$b.php 拼接绕过 ‘fl’.'ag' 括号绕过 (sy.(st).em)(ls); 除了上述方式，还可以用字符串拼接的方式绕过。 python字符串拼接: 1.+ eg: ‘a’+‘b’ 输出:‘ab’ 2.贴贴 eg: ‘a’‘b’ 输出:‘ab’ PHP拼接: . eg: ‘a’.‘b’ 输出:‘ab’ 解释内联执行：将前一个执行结果作为后一个执行的参数。过滤所有字母和数字: 1.位运算-异或（见脚 ...

HUBU新星杯wp

发表于 2024-11-30 | 更新于 2025-02-19 | CTF | 比赛wp

[TOC] web Robots Leak 考点：git泄露开启题目先扫目录 git泄露，直接拉取git到本地，然后有个.git文件进入到文件里，查看日志找到关键词flag，查看一下内容拿到一半flag。查看一下其他日志内容，都没什么营养，然后看看有没有文件，用git stash pop 发现拉取了一个.flag.exe，查看得到下一半合起来就是全部flag HUBUCTF{431332b1-e91f-4437-9036-b9059539886f} ez-http 考点：http基础 http基础，按要求一步一步来，建议抓包放进重放器里面，方便剩下的就是改referrer，添加一个ip(网上搜一下，多试)，然后改cookie等等。（不截图了） Random_Door 考点：python脚本，php伪协议打开网站嗯，好，满天星，写个脚本挨着读 1234567891011121314151617181920212223import requestsimport timebase_url = ...

HUBUCTF-2022-新生赛-wp

发表于 2024-11-29 | 更新于 2024-12-02 | CTF | 比赛wp

checkin 考点：反序列化，弱比较，php 123456789101112131415<?phpshow_source(__FILE__);$username = "this_is_secret"; $password = "this_is_not_known_to_you"; include("flag.php");//here I changed those two $info = isset($_GET['info'])? $_GET['info']: "" ;$data_unserialize = unserialize($info);if ($data_unserialize['username']==$username&&$data_unserialize['password']==$password){ echo $flag;}else{ ...

CTFHub技能树-XSS

发表于 2024-11-28 | 更新于 2025-02-02 | CTF | web-wp

反射型打开网站反射型，直接使用xss平台，将生成的地址传入第一个空然后将url代码传入第二个空就行 flag=ctfhub{a51bb55f89d068a011466d62} 存储型打开网站，依然像上面的步骤一样。区别于前面反射型xss的是，他建立恶意连接是在于每一次都要发送含恶意代码，而这个存储xss不需要，一旦发送过一次，以后每次访问它时，都会含有恶意代码 flag=ctfhub{1cef0cbbc0bb33244d4a5c76} DOM反射查看源码位置需要闭合前面的 ’ ，所以只需要在xss注入时前面加上’; ，然后把后面的’;注释掉。由于前面没有东西了，所以 1</script><script src= > 其余步骤一样 flag=ctfhub{aebf8f6244f0ad340612cc6e} 过滤空格步骤一样，空格可以用[/]或者/**/代替 flag=ctfhub{9830f9e82cfbc1e77a1d0dae} 过滤关键词先用探针试试 1<script>alert(/xss/)</ ...

XSS在线平台使用

发表于 2024-11-28 | 更新于 2024-12-02 | CTF | 其他姿势

前言：由于自己搭建的xss平台需要服务器才能获取其他网络的cookie，所以无法接收赛题的cookie，最简便的方法还是使用在线平台，虽然可能有一定风险，以后买服务器了再搭建自己的吧登录后，直接创建项目就行传入的地址如下：然后就能在平台上接受到了

mb_strpos与mb_substr错位索引

发表于 2024-11-26 | 更新于 2024-12-02 | CTF | web姿势

mb_strpos与mb_substr错位索引 1234567891011121314152. mb_substr和mb_strpos函数漏洞mb_strpos() 和 mb_substr() 是 PHP 中用于处理多字节字符的函数，专门用于处理 UTF-8 或其他多字节编码的字符串。(1)mb_strpos: 用于查找一个字符串在另一个字符串中第一次出现的位置（索引），返回结果是该子字符串第一次出现的位置（索引）。mb_strpos(string $haystack, string $needle, int $offset = 0, string $encoding = null): int|false $haystack：要在其中搜索子字符串的源字符串。 $needle：要搜索的子字符串。 $offset（可选）：从哪个位置开始搜索，默认为 0。 $encoding（可选）：要使用的字符编码，默认为内部字符编码。(2)mb_substr: 用于获取一个字符串的子串，返回结果是指定位置和长度的子字符串。mb_substr(string $string, int ...