root@wanth3f1ag

0x01前言刚好做到一个湘岚杯的题目是跟无回显rce有关的，就写篇文章去深入学习一下这个知识点 在我们做题的时候或者是测试的时候，通常会有命令执行后没有回显的情况，页面不会返回我们执行的结果，而我们也不知道命令是否执行成功，这时候就是讲到我们的无回显RCE了 0x02正文没有回显加上命令执行的话很容易就能想到反弹shell，这也是其中的一个方法之一 反弹shell参考文章...

0x01前言没报名，但是后面发现这个比赛的赛题挺好玩的，就浮现玩一下 0x02赛题大道轮回12345678910111213141516171819202122232425262728293031323334<?phpsession_start();/*跳出轮回的真谛开头是:XNCTF*/show_source(__FILE__);error_reporting(0);if (isset($_GET['sha256']) && isset($_GET['cmd'])) { $sha256 = $_GET['sha256']; $cmd = $_GET['cmd']; if (substr(sha256($sha256), 0, 6) === '647d99') { echo "踏平坎坷成大道，斗罢艰险又出发"; if...

签到_观己123456789101112131415<?phpif(isset($_GET['file'])){ $file = $_GET['file']; if(preg_match('/php/i', $file)){ die('error'); }else{ include($file); }}else{ highlight_file(__FILE__);}?> include文件包含，allow_url_include没有开启没有办法用伪协议，我们用日志注入，先看一下服务器版本 对于Ngnix，日志存放路径：/var/log/nginx/access.log 和...

0x01前言做一期函数的知识点积累，方便忘记的时候查阅 0x02正文preg_replace()函数(PHP 4, PHP 5, PHP 7, PHP 8) preg_replace — 执行一个正则表达式的搜索和替换 基础语法 1234567preg_replace( string|array $pattern, string|array $replacement, string|array $subject, int $limit = -1, int &$count = null): string|array|null 参数说明 参数 描述 $pattern 要搜索的正则表达式模式 $replacement 替换字符串或回调函数 $subject 要搜索替换的目标字符串或数组 $limit 可选，最大替换次数 $count 可选，填充实际替换次数的变量 返回值 如果 subject 是一个数组，preg_replace() 返回一个数组，其他情况下返回一个字符串。 发生错误时返回...

36D练手赛+36D杯不知所措.jpg 传入file参数且file参数必须有test 那我们先试一下是get传参还是post传参吧 /?file=test 确定是GET传参了，不过我们传入的参数和php进行拼接了，我本来是试着去读flag的，但是没读出来 试试index看看能不能读到源代码，然后也是成功读到了index.php文件的源码，我们拿去解码一下 123456789101112<?phperror_reporting(0);$file=$_GET['file'];$file=$file.'php';echo $file."<br />";if(preg_match('/test/is',$file)){ include ($file);}else{ echo '$file must has...

基础知识积累ASCII 设备控制字符ASCII 控制字符（00-31，加上 127）最初被设计用来控制诸如打印机和磁带驱动器之类的硬件设备。 控制字符（除了水平制表符、换行、回车之外）在 HTML 文档中不起任何作用。 字符 编号 描述 NUL 00 空字符（null character） SOH 01 标题开始（start of header） STX 02 正文开始（start of text） ETX 03 正文结束（end of text） EOT 04 传输结束（end of transmission） ENQ 05 请求（enquiry） ACK 06 收到通知/响应（acknowledge） BEL 07 响铃（bell） BS 08 退格（backspace） HT 09 水平制表符（horizontal tab） LF 10 换行（line feed） VT 11 垂直制表符（vertical tab） FF 12 换页（form feed） CR 13 回车（carriage...

0x01前置知识借鉴文章:https://fushuling.com/index.php/2023/04/07/sql%e6%b3%a8%e5%85%a5%e4%b8%80%e5%91%bd%e9%80%9a%e5%85%b3/ sql注入因为题目比较多，不让文章内容以及目录太多不方便查看，基础知识已经转到另一篇sql注入了深入浅出sql注入，不过一些知识还是会在下面的题目中提到 sql注入getshell前提： 存在SQL注入漏洞 web目录具有写入权限 找到网站的绝对路径 secure_file_priv没有具体值（secure_file_priv是用来限制load dumpfile、into outfile、load_file()函数在哪个目录下拥有上传和读取文件的权限。） getshell是指攻击者通过利用SQL注入获取系统权限的方法，Webshell提权分两种：一是利用outfile函数，另外一种是利用**–os-shell**；UDF提权通过堆叠注入实现；MOF提权通过”条件竞争”实现 union...

这篇文章的知识点大部分已经移到另一篇文章了 0x02题目web78 典型的文件包含include()函数并不在意被包含的文件是什么类型，只要有php代码，都会被解析出来。 我们采用伪协议去做 php伪协议做法: 做法一:采用data伪协议 123?file=data://text/plain,<?php system('ls');?>?file=data://text/plain,<?php system('tac flag.php');?> data://伪协议data:// 是一个流封装器（stream...

0x01前言之前看到一个师傅的文章写了很多sqlmap的指令，然后觉得挺全面的想收集一下，所以发个文章去做记录，但是后面找不到借鉴的师傅的文章了，后面找到了这里再放引用 0x02正文关于sqlmapsqlmap 是一款开源的自动化 SQL 注入测试及漏洞利用工具 sqlmap它支持5种SQL注入技术： 布尔盲注，页面无回显时，利用返回页面判断来判断查询语句正确与否 时间盲注，页面无回显时，利用时间延迟语句是否已经执行来判断查询语句正确与否 报错注入，即利用报错信息进行注入 联合注入，即Union联合注入 堆叠注入，即在允许同时执行多条语句时，利用逗号同时执行多条语句的注入 1.基础命令123456789-u "url" #检测注入点--dbs #列出所有数据库的名称--current-db #列出当前数据库的名称-D #指定一个数据库--table #列出所有表名-T #指定表名--columns #列出所有字段名-C #指定字段-dump #列出字段内容 GET注入指定 url 作为目标输入1python...

...