Lengkur

看功能就知道是个模板注入，但是我试了很多竟发现所有括号、下划线、点号都被后端过滤了，后来才知道要用全角字符，这有一个知识点 12345678Flask框架内部完全使用Unicode字符集，在Unicode字符集中有很多我们看起来一样但是，内部编码不一样的字符，如"admin&quo...

看功能就知道是个模板注入，但是我试了很多竟发现所有括号、下划线、点号都被后端过滤了，后来才知道要用全角字符，这有一个知识点 12345678Flask框架内部完全使用Unicode字符集，在Unicode字符集中有很多我们看起来一样但是，内部编码不一样的字符，如"admin&quo...

这题和上个upload题多了点字符过滤，后端也过滤了几个关键字，上题的.htaccess文件已经用不了了，找了个新的 123RewriteEngine OnRewriteCond expr "file('/flag') =~ /{pattern...

进来就是一个文件上传点，下面是过滤字符，实际上在后端还有过滤，直接上传php文件是可以的，但是后端检测php代码太严 我一开始是想上传一个经过base64编码的一句话木马的图片文件，再上传一个.htaccess文件和一个空php文件，内容如下 1php_value auto_append_...

进来就是一个文件上传点，下面是过滤字符，实际上在后端还有过滤，直接上传php文件是可以的，但是后端检测php代码太严 我一开始是想上传一个经过base64编码的一句话木马的图片文件，再上传一个.htaccess文件和一个空php文件，内容如下 1php_value auto_append_...

进来是一个文件上传点，经过测试只能上传pdf后缀文件，要包含pdf文件头，上传后还会文件重命名，这样想拿到webshell是很困难的了 上传一个正常的pdf文件试试看，显示在文件中没有xfa 经过查资料，xfa在早期存在很多漏洞，现在很多pdf文件已经没有了 在wappalyzer中可以...

进来是一个文件上传点，经过测试只能上传pdf后缀文件，要包含pdf文件头，上传后还会文件重命名，这样想拿到webshell是很困难的了 上传一个正常的pdf文件试试看，显示在文件中没有xfa 经过查资料，xfa在早期存在很多漏洞，现在很多pdf文件已经没有了 在wappalyzer中可以...

1.进去就一个Hello World，用bp抓包后发送一个请求得到的响应可以知道是php/7.3.4版本 在PHP<=7.4.21都有一个任意文件读取漏洞，可看https://www.cnblogs.com/Kawakaze777/p/17799235.html 2...

dvcs-ripper:专门用于从web服务器提取和恢复元数据，如.git .hg .svn 123rip-hg -u http://www.example.com还原.hgrip-git -u http://www.example.com还原.gitrip-svn -u http://www...

ezJS [图片缺失] 原始路径：file:///tmp/lu173706h6mcg.tmp/lu173706h6mem_tmp_19d3550d.png 1,打开靶场，点击登录，就有admin账户，手测密码admin123 [图片缺失] 原始路径：file:///tmp/lu17370...

试试上一题用弱比较特性的方法，可以看到出现了密码错误 当用户名输入1时，返回查询失败，可以想到布尔注入 if，ascii，substr，load_file配合来判断，正确返回用户名1，对应查询失败 1if(ascii(substr(load_file('/var/www/htm...

可以看到password被传入后会进行md5加密，在md5中有一个特殊字符串ffifdyop 12md5()函数有两个参数，第二个默认是0，输出md5的32为十六进制数如果为1，则输出原始字符串，则十六进制解码 ffifdyop在经过md5加密后的原始字符串的开头有这样一个字符串，如果s...

新增数字过滤，在sql中true值为1，concat有自动转换字符串机制，得到的值会直接转为数字字符 所以还要配合char来构造各种字符（下图true总共97个） 由于过滤了引号，所以也不能用like了，但是可以用regexp代替，用于正则匹配 写脚本 12345678910111213...

可以看到sql语句用来查pass的记录数(pass和用户的数量是相等的)，这里过滤了很多字符，我们可以用()来绕过空格 我们可以用“表中有没有这条数据”的思路来猜字符，如 12345tableName=(ctfshow_user)where(pass)like'ctfshow%&#...