2. 程式人生 > 其它 >[CISCN2019 華北賽區 Day1 Web1]Dropbox

[CISCN2019 華北賽區 Day1 Web1]Dropbox

阿新 發佈:2021-07-13
phar反序列化,生成phar檔案的注意事項

題目記錄:[CISCN2019 華北賽區 Day1 Web1]Dropbox

1.涉及的知識點:

1.任意檔案下載漏洞

  • 在下載處抓包修改檔名,可以下載任意檔案

2.phar反序列化

2.解題方法

  • 見參考連結

  • 注意:要生成phar檔案得把php.ini裡面的”phar.readonly = Off“,預設是"on"的,要關掉,然後前面的註釋要刪除掉,在php.ini裡面”;“分號是註釋,這個我也是問了我們單位的老師傅才知道的。

大概就是這樣,然後就可以直接參考連結裡面的payload檔案了,後續步驟上面都有。

有什麼錯誤或者改進意見歡迎評論或發給我噢!大家一起共同學習!求大佬帶帶我!!!

相關推薦

[CISCN2019 華北賽區 Day1 Web1]Dropbox

phar反序列化,生成phar檔案的注意事項 題目記錄:[CISCN2019 華北賽區 Day1 Web1]Dropbox

[CISCN2019 華北賽區 Day2 Web1]Hack World

首頁提示flag位於flag表的flag欄位 直接輸入 ;select flag from flag; ,顯示sql注入檢測

BUUOJ | [CISCN2019 華北賽區 Day2 Web1]Hack World(SQL布林盲注)

題目地址 用瀏覽器連線靶機,看到以下頁面 右鍵檢視原始碼,發現上傳用的是 post 請求,根據提示知道 flag 位於 flag 表中的 flag 欄位裡

刷題[CISCN2019 華北賽區 Day2 Web1]Hack World

解題思路 打開發現是很簡單的頁面,告訴了表名和列名,只需知道欄位即可 嘗試一下,輸入1,2都有內容,後面無內容。輸入1\'讓他報錯,發現返回bool(false)

[CISCN2019 華北賽區 Day1 Web2]ikun

[CISCN2019 華北賽區 Day1 Web2]ikun 先註冊賬號,然後看下坤坤的精彩表演

報錯注入——[CISCN2019 華北賽區 Day1 Web5]CyberPunk

報錯注入 報錯注入有很多種,其中最常用的三種分別是floor()、extractvalue()、updatexml(),這裡附上一個參考連結https://www.jianshu.com/p/bc35f8dd4f7c

[CISCN2019 華北賽區 Day2 Web1]Hack World 1詳解

開啟題目, 我們開始嘗試注入, 輸入0回顯Error Occured When Fetch Result. 輸入1回顯Hello, glzjin wants a girlfriend.

Buuctf-web-[CISCN2019 華北賽區 Day2 Web1]Hack World

輸入1/1結果回顯了Hello, glzjin wants a girlfriend. 於是我們判斷它是數字型注入 試了半天發現他過濾了 or union and ,但好像沒有過濾()

BUUCTF-[CISCN2019 華北賽區 Day2 Web1]Hack World

BUUCTF-[CISCN2019 華北賽區 Day2 Web1]Hack World WriteUp 知識點 通過簡單注入判斷過濾的字元,再找到合適的注入方法

[CISCN2019 華東南賽區]Double Secret

0x01 進入頁面如下 提示我們尋找secret,再加上題目的提示,猜測這裡有secret頁面,我們嘗試訪問,結果如下

BUU XSS COURSE 1 & [CISCN2019 華東北賽區]Web2

BUU XSS COURSE 1 & [CISCN2019 華東北賽區]Web2 XSS的題目沒怎麼做過,比賽基本上也沒有(=_=),總結下今天做的兩題

刷題[CISCN2019 總決賽 Day2 Web1]Easyweb

解題思路 開啟網頁是這樣一個登陸框,隨機試了一下常見弱金鑰,二次注入等。均是返回不同的貓咪圖案

刷題[CISCN2019 華東南賽區]Web4

解題思路 開啟有一個連結,那先點選一下 發現url處,很像命令執行,試一試。發現無論是什麼都是no response,又是各種嘗試

[CISCN2019 華東北賽區]Web2 WriteUp

[CISCN2019 華東北賽區]Web2 WriteUp 前言一.開啟環境二.構造XSS程式碼 前言 這是一道xss結合sql注入的題目,當時在寫的時候想了很久,最後看大佬的題解覺得不太適合我這樣的新手來看,於是心血來潮想寫

[CISCN2019 華東北賽區]Web2刷題筆記

無摘要 最近的學習時間大部分用在了新東西上面,只靠刷刷freebuf偶爾刷道ctf題來溫一溫之前的方向了

[SWPU2019]Web1

考點:二次注入,無列名注入嘗試使用單引號判斷是否存在注入 報錯說明存在二次注入

LOJ#6130. 「2017 山東三輪集訓 Day1」Fable 樹狀陣列+逆序對

code: #include <set> #include <cstdio> #include <algorithm> #define N 200009 #define ll long long

luogu P4798 [CEOI2015 Day1]卡爾文球錦標賽 dp 數位dp

LINK:卡爾文球錦標賽 可以先思考一下合法的序列長什麼樣子. 可以發現後面的選手可以使用前面出現的編號也可以直接自己新建一個隊.

LOJ#6031. 「雅禮集訓 2017 Day1」字串 根號分治+SAM+倍增

怎麼想都沒想出來 $\\log n$ 做法,那麼這道題基本就是根號分治了. 題目描述中保證 $\\sum k \\leqslant 10^5$,然後 $k$ 在每次詢問中又是相同的,那麼就考慮對 $k$ 根號分治.

正睿NOI2020集訓 講課 Day1

上午 ZJOI2020 密碼 給定 \\(p\\) 級別在 \\(10^{18}\\) ,有一個未知數 \\(x\\) ,會給 \\(a_ix\\pmod p\\) ,但有 \\([-10^{16}/2,10^{16}/2]\\) 的誤差。誤差之間獨立且隨機。\\(x,a_i\\) 隨機。