buuctf

sszdlbw11 天前
web安全·web·安全漏洞·buuctf
BUUCTF-web刷题篇(19)源码:可以看出文件上传类的题目,绕过后缀的文件格式有php,php3,php4,php5,phtml,pht。
sszdlbw12 天前
安全·web安全·web·buuctf
BUUCTF-web刷题篇(17)源码:https://github.com/imaginiso/GXY_CTF/tree/master/Web/babyupload
sszdlbw19 天前
web安全·web·buuctf
BUUCTF-web刷题篇(6)知识点:①__wakeup()//将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)我们可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件:PHP5<5.6.25,PHP7<7.0.10,或者PHP 7.3.4。
轨迹H2 个月前
前端·网络安全·web·ctf·buuctf
BUUCTF-Web方向21-25wp打开环境,有三处提示,一个跳转链接,一个登录注册,一个提示不是admin点击hctf,无法访问注册个账号,依旧无法查看,看来需要admin账号
H轨迹H2 个月前
网络安全·渗透测试·ctf·buuctf
BUUCTF-Web方向16-20wp由内容提示应该存在源码备份,常见的如下,一个个尝试访问www.zip,下载下来解压查看index.php
H轨迹H3 个月前
网络安全·渗透测试·ctf·buuctf·web漏洞
BUUCTF刷题-Web方向1~5wp一个sql注入登录框,直接万能密码登录拿到flag打开环境,没有任何信息,查看源码,发现这么一段代码GET方式传入一个cat请求,并且变量值为dog,即?cat=dog,得到flag
希望奇迹很安静3 个月前
开发语言·学习·web安全·php·ctf·buuctf
[极客大挑战 2019]PHP
希望奇迹很安静3 个月前
学习·web安全·ctf·buuctf
[HCTF 2018]WarmUp
摸鱼也很难4 个月前
开发语言·php·buuctf·php反序列化
php反序列化进阶 && CVE (__wakeup的绕过)&&属性类型特征 && 字符串的逃逸属性特征 : 是指php的类定义除了 public(公共属性)还有 protect(受保护的属性) 和private (私有属性)
吾即是光4 个月前
buuctf
BUU BRUTE 1启动靶机让我们输入账户和密码,这里我们什么也不知道就随便输入一个试试账户adimin密码1234告诉我们密码错误,为四位数字,在这里没有说账号错误,说明账号就是admin
Sweet_vinegar5 个月前
网络·测试工具·安全·wireshark·ctf·buuctf
Wireshark解题思路题目设计原理总结首先下载文件,用 wireshark 打开一头雾水。但是看看题目的提示,说管理员的密码就是 flag 的内容,我们可以知道,关键词估计是密码,passwd、password、pwd之类的。
Sweet_vinegar5 个月前
算法·安全·ctf·buuctf
变异凯撒(Crypto)解题思路题目设计原理总结从题目可以看出,这是凯撒密码,原理应该还是整体偏移,但是变异了。凯撒密码只有字母的横移,而通过观察我们可知,加密密文包含大小写字母、特殊字符,于是猜想大概是根据 ascii 码进行位移了。
kangsf19897 个月前
靶场·ctf·buuctf
BUUCTF 之Basic 1(BUU LFI COURSE 1)1、启动靶场,会生成一个URL地址,打开给的URL地址,会看到一个如下界面可以看到是一个PHP文件,非常的简单,就几行代码,判断一下是否有一个GET的参数,并且是file名字,如果是并且加载,通过审计代码可以看出这是一个文件包含漏洞。
亿.67 个月前
web·ctf·buuctf
[FBCTF2019]RCEService源码putenv('PATH=/home/rceservice/jail'); 改变了环境变量, 也就无法直接使用cat这样的命令了 需要一个完整的路径比如 /bin/cat 可以在自己的vps上面在bin目录下找到这些命令
亿.69 个月前
web·ctf·buuctf
buu做题(12)首先, 限制了传入的参数的长度 小于80 然后是有一个黑名单, [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'] 不允许出现这些字符 最后就是一个白名单, 必须要出现那些函数
亿.69 个月前
web·ctf·buuctf
buu做题(6)目录[GWCTF 2019]我有一个数据库[WUSTCTF2020]朴实无华什么都没有, 尝试用dirsearch扫一下目录 可以扫到一个 /phpmyadmin 可以直接进入到数据库里面
亿.69 个月前
web·ctf·buuctf
buu做题(5)目录[GXYCTF2019]禁止套娃方法一:方法二:[NCTF2019]Fake XML cookbook
Z3r4y1 年前
web·ctf·题解·buuctf·newstarctf·wp
【Web】NewStarCTF 2022 题解(全)目录Week1HTTPHead?Header!我真的会谢NotPHPWord-For-YouWeek2
玥轩_5211 年前
数据库·redis·安全·网络安全·缓存·密码学·buuctf
BUUCTF [安洵杯 2019]吹着贝斯扫二维码 1BUUCTF:https://buuoj.cn/challenges题目描述: 得到的 flag 请包上 flag{} 提交。