北歌

2024-09-24- 2024-10-21

203- 1m-

[RootersCTF2019]ImgXweb

我们先进行注册登录

看到这，一般也就排除了二次注入，我们进行传文件

不能传.htaccess类似的。但是php啥的都可以传，不解析

刷题笔记

jwt

virink_2019_files_share、

2024-09-24- 2024-09-26

85- 1m

我们打开页面源码发现一个提示

flag在f1ag_Is_h3re

我们扫描url发现uploads文件夹

刷题笔记

任意文件执行

[XNUCA2019Qualifier]EasyPHP

2024-09-24- 2024-09-29

2.6k- 9m-

[XNUCA2019Qualifier]EasyPHP

转载：https://www.cnblogs.com/Article-kelp/p/14998652.html

我们进行代码审计

首先对当前访问的php页面文件(index.php)所在文件夹进行遍历，获取的结果为当前目录中的文件名和文件夹名，接着在结果筛选出文件名，对文件名进行判断，文件名不为”index.php”的文件都会被删除。

刷题笔记

[watevrCTF-2019]Pickle Store

2024-09-24- 2024-09-27

297- 1m-

[watevrCTF-2019]Pickle Store

我们发现购买第一个和第二个时，cookie会发生变化

所以我们想到，是否能伪造session来购买flag

因为题目提到了pickle，那我们考虑用pickle反序列化来解析这个session

刷题笔记

shell反弹

[羊城杯 2020]Easyphp2

2024-09-24- 2024-10-08

554- 2m-

[羊城杯 2020]Easyphp2

我们打开页面，显示404，并有提示，只有来自GWHT的人才能通过

我们想到修改cookie，我们将pass的值修改为GWHT就能进入网站

刷题笔记

su提权

[安洵杯 2019]iamthinking

2024-09-23- 2024-09-24

514- 2m-

[安洵杯 2019]iamthinking

我们扫描目录能发现一个www.zip文件

我们进行访问

发现这是topthink框架，也就是thinkphp框架

刷题笔记

thinkphp

thinkphp5漏洞总结

2024-09-23- 2024-09-24

0- 1m-

学习笔记

thinkphp

[GWCTF 2019]你的名字

2024-09-22- 2024-10-06

636- 2m-

[GWCTF 2019]你的名字

我们往姓名处输入一个1，页面回显一个1

这种情况，我们第一时间想到的是ssti模版注入

我们输入49,得到的居然是php报错

刷题笔记

ssti

[RoarCTF 2019]Simple Upload

2024-09-22- 2024-09-24

791- 3m-

[RoarCTF 2019]Simple Upload

我们打开页面进行代码审计

<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller
{
    public function index()
    {
        show_source(__FILE__);
    }
    public function upload()
    {
        $uploadFile = $_FILES['file'] ;
        
        if (strstr(strtolower($uploadFile['name']), ".php") ) {
            return false;
        }
        
        $upload = new \Think\Upload();// 实例化上传类
        $upload->maxSize  = 4096 ;// 设置附件上传大小
        $upload->allowExts  = array('jpg', 'gif', 'png', 'jpeg');// 设置附件上传类型
        $upload->rootPath = './Public/Uploads/';// 设置附件上传目录
        $upload->savePath = '';// 设置附件上传子目录
        $info = $upload->upload() ;
        if(!$info) {// 上传错误提示错误信息
          $this->error($upload->getError());
          return;
        }else{// 上传成功 获取上传文件信息
          $url = __ROOT__.substr($upload->rootPath,1).$info['file']['savepath'].$info['file']['savename'] ;
          echo json_encode(array("url"=>$url,"success"=>1));
        }
    }
}