保险箱misc_buuctf_writeup writeup buuctf

考点：SSTI的Twig模板注入 尝试多次后（别人），发现是SSTI注入 输入`{{7*7}}`和`{{7*'7'}}`，返回的结果是 ![](https://img2023.cnblogs.com/blog/2539847/202309/2539847-20230901140557428-9074 ......

1. 目录扫描 扫出来了**robot.txt**，该文件规定了搜索引擎抓取工具（爬虫）可以访问您网站上的哪些网址，主要用于管理流向您网站的抓取工具流量，通常用于阻止 Google 访问某个文件。 ``` User-agent: * Disallow: /fAke_f1agggg.php ``` 访 ......

一进入环境，毫无头绪。 使用`dirsearch`扫出了`/.git/`，可以猜出本关一定与git源码泄露有关。 `python .\dirsearch.py -e * -u http://7cb1db04-980a-4af8-856b-7f6cd5ea231d.node4.buuoj.cn:81/ ......

文件包含漏洞，和SQL注入等攻击方式一样，文件包含漏洞也是一种注入型漏洞，其本质就是输入一段用户能够控制的脚本或者代码，并让服务端执行。 什么叫包含呢？以PHP为例，我们常常把可重复使用的函数写入到单个文件中，在使用该函数时，直接调用此文件，而无需再次编写函数，这一过程叫做包含。 有时候由于网站功能 ......

XXE漏洞原理：发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起DOS攻击等危害。XXE漏洞触发的点往往是可以上传XML文件的位置，没有对上传的XML文件进行过滤，导致可上传恶意XML文件。 * DOCTYPE（ ......

进入网站观察到`http://71882873-f81e-4755-8040-5e7bb6b2230f.node4.buuoj.cn:81/index.php?category=woofers` 先尝试读取一下index.php，没有反应。 试试php伪协议，payload：`?category=p ......

题目是登陆页面，查看源码，发现一个连接`Download?filename=help.docx`，跳转到帮助文档。 点击help也可以跳转到帮助文档。 帮助文档内容为`java.io.FileNotFoundException:{help.docx}`，是java语句，帮助文档不存在。 ## WEB ......

1. 判断过滤哪些关键词和字符 使用Burp Suite的Intruder，字典内容就是常见的SQL注入的一些函数名、符号等。 buuoj有访问限制，访问太快会提示429 Too Many Requests，所以，需要设置一下延时。 ![](https://img2023.cnblogs.com/b ......

# VulnStack - ATT&CK红队评估实战(一) Writeup ## VulnStack(一)环境搭建 - **项目地址** http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ - **网络拓扑** ![image-202308281500 ......

```php ?php if(isset($_GET['ip'])){ $ip = $_GET['ip']; if(preg_match("/\&|\/|\?|\*|\|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match); die("fxck your symbol ......

首先进入网站，是一个登录框，使用admin尝试一下。 之后对登录框做了一些常规的SQL注入也都是do not hack me! 但在登录后跳转的search.php页面的源代码中发现一段编码。 > MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJW ......

## 判断过滤哪些关键词和字符 ## 报错注入 报错注入在没法用union联合查询时用，但前提还是不能过滤一些关键的函数。 报错注入就是利用了数据库的某些机制，人为地制造错误条件，使得查询结果能够出现在错误信息中。这里主要记录一下`xpath语法错误`和`concat+rand()+group_by ......

# 所以王原的代价是? writewp  ## WEB (遗憾，差点AKweb,最后一个真的做不了一点,还是太菜了 ......

Hi铁布衫-CM Ver 0.001 WriteUp 本文作者：XDbgPYG(小吧唧) 发布时间：2023年8月28日 内容概要：Hi铁布衫-CM Ver 0.001 WriteUp ## 收集信息 有一段时间没写过代码了，源码早就忘光了，今天碰巧有时间，好好测试一下我的网络验证的强度。 PE 信 ......

## 寻找破解知识点 ## 方法1 - Flask session伪造 首先，先注册一个再登录，在change password那里查看源码，可以看到有提示： ![](https://img2023.cnblogs.com/blog/2539847/202308/2539847-2023082820 ......

1. 判断传参方式，输入`1' or 1 = 1`，URL传参，所以是`get`。 报错```error 1064 : You have an error in your SQL syntax; check the manual that corresponds to your MariaDB se ......

## WMCTF 2023 Writeup 人刚分手，打个 CTF 拿 3 个二血，1 个三血，本来还挺高兴的，只有一血有奖励。好好好，都欺负我是吧。 ### ezAndroid userName是一个类似RC4的东西，直接复制出来跑，password是变表 AES，在 .init_array 修改 ......

刚好前段时间蹭了某部的一个取证比赛，偶遇原题魔改部分内容，分享一下wp，内存取证还是比较有意思的，附上镜像文件分享给大家。 ......

一、题目链接 https://ctf.bugku.com/challenges/detail/id/87.html?id=87& 二、解法步骤 打开网页，发现自动给url上了参数：， line的值为空，filename是base64加密格式，解密后为：key.txt。 首先尝试更改line=1,、2 ......

全文链接：https://tecdat.cn/?p=33416 原文出处：拓端数据部落公众号 介绍 在这里，我们将帮助客户将 PyMC3 用于两个贝叶斯推理案例研究：抛硬币和保险索赔发生。 方法： 回想一下，我们最初的贝叶斯推理方法是： 设置先前的假设，并根据启发式、历史或样本数据建立我们数据的“已 ......

一、题目链接 https://buuoj.cn/challenges#[HCTF%202018]admin 二、解法步骤 本题页面十分简单， 在源代码中发现： 猜测需要用admin进行登陆，如果在注册模块用admin进行注册的话，会提示已被注册，那么可以肯定与admin有关。 在登陆页面用弱口令试试 ......

一、题目链接 https://buuoj.cn/challenges#[%E6%8A%A4%E7%BD%91%E6%9D%AF%202018]easy_tornado 二、解法步骤 本题一共给了三个文件： 同时发现，打开不同的文件url的格式都是差不多的：file?filename=xxx&file ......

# 税收： ## 纳税人 | （非）居民企业 **纳税人判断标准** |纳税人判断标准：|判断答案| |-|-| |一般|超标| |小规模|未超标| **居民企业x非居民企业 成立的区别** |居民企业|非居民企业|概念点| |-|-|-| |1.中国境内|不在中国境内|不同点| |2.依外国法，| ......

2023 CISCN 第十六届全国大学生信息安全竞赛 初赛 WriteUp 引言 第十六届全国大学生信息安全竞赛 ——创新实践能力赛 http://www.ciscn.cn/competition/securityCompetition?compet_id=38 时光荏苒，又是一年一度的国赛了！ 这 ......

对题目分析： if ( Msg == 517 ) { if ( strlen(String1) > 6 ) // String位数小于等于6 ExitProcess(0); if ( strlen(String1) ) { memset(v17, 0, sizeof(v17)); v6 = strl ......

一、题目链接 https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]Secret%20File 二、解法步骤 打开网页： 看看源码： 访问下： 继续看源码： 继续访问： 发现并没有跳转到ac ......

铺天盖地的朋友圈“轻松筹” 隔三差五的新闻意外事故的报道 在各类现实主义的教育下，国人的保险意识是越来越强 确实觉得应该在当下为未来做好抵御风险的准备 但是细聊到保险，发现很多朋友对保险的认知还是停留在“病了就赔”或者“死了才赔”的粗犷画像上。 对保险的分类以及功能定位基本不怎么了解 那么今天，用一 ......

打开靶机显示 啥都没有，先去查看robots.txt 发现 之后再fake里面请求头中发现fl4g.php 最后绕过三层php限制 第一关 intvar 可以解析科学计数法 所以传入 1e4 第一个截断解析为1 第二个加一解析为10001 payload：num=1e4 第二关 只要是0e开头md5 ......

## 巅峰极客 WriteUp ### m1_read 白盒 AES，其他师傅也写的比较清楚了。我当时用的 `Frida` ```js var baseAddr = Module.findBaseAddress("m1_read.exe"); var whiteAES = new NativeFun ......

# matrix ## 信息收集 只开放了80端口  换了一个大一点 ......