flag1ThinkPHP RCE 与 WebShell 获取看图标可以知道是thinkphp
Thinkphp 漏洞检测工具
上传shell
蚁剑连接
权限提升:SUID 与 sudo 滥用读取 flag1suid提权
find / -user root -perm -4000 -print 2> result.txt
列出当前用户被授权可以以 sudo 执行的命令(即查看用户的 sudo 权限)。
sudo -l
这里有mysql可以利用
sudo mysql -e '\! cat /root/flag/flag01.txt'
flag{60b53231-
flag2内网横向移动——查网段由于题目提示 flag各部分位于不同的机器上,所以这里我们要通过内网横向移动,进而获取同一内网中的其他主机或系统里面的flag
内网横向移动(Lateral Movement) 是指攻击者在成功入侵一台内网主机后,以此为跳板,进一步渗透同一内网中的其他主机或系统的过程。它是红队/渗透测试/APT 攻击中的关键 ...
week3mygo!!!这题本来想远程文件包含,但好像是不出网的
dirsearch扫一下
直接读取flag.php
https://eci-2zeck33krj7fsuo01x59.cloudeci1.ichunqiu.com:80/?proxy=http://localhost/flag.php
回显
<?php$client_ip = $_SERVER['REMOTE_ADDR'];// 只允许本地访问if ($client_ip !== '127.0.0.1' && $client_ip !== '::1') { header('HTTP/1.1 403 Forbidden'); echo "你是外地人,我只要\"本地\"人"; exit;}highlight_file(__FILE__);if (isset($_GET['soyorin'])) { $url ...
从此开始签到就在提示里
moectf{Welcome_to_MoeCTF_2025}
miscMisc入门指北
web0 Web入门指北jother解码即可
moectf{jv@vScr1p7_14_so0o0o0o_inT3r3&t!!!}
01 第一章 神秘的手镯调试器里直接看js代码就可以拿到
moectf{f_i2_1s_Your_g00d_fri3nd!!}
02 第二章 初识金曦玄轨抓包可以找到下一关的位置
访问后没什么东西
抓包后就能拿到flag,在http头里
03 第三章 问剑石!篡天改命!在控制台执行以下脚本
先等级提升至 S 级,然后特殊表现值匹配{manifestation: “flowing_azure_clouds”}
async function getFlag() { const params = [ {manifestation: "none"}, {manifestation: "flowing_azure_clouds&quo ...
战队名:Jatopos
共解出14道题目+1道签到码
共计15道
WEBez______rce进入后注释里面有一个账号和密码
base64解码
拿到账号密码
unjoke
YuasyHksGBOKl
进入系统后ls查目录,发现有一个index.php
如果输入其它指令会弹出提示
这里可以用more,拿到源码
关键部分摘取到下面
if (isset($_GET["logout"])) { session_destroy(); header("Location: ?"); exit();}$output = "";if (isset($_GET["ls"])) { $cmd = $_GET["ls"]; if (preg_match("/ls/i", $cmd)){ if (preg_match('/a|g|cat|more|tac|head|tail|nl|od|b ...
week1(web)multi-headach3提示robots协议
Hello!Today is 2025/09/29welcome to my first website!ROBOTS is protecting this website!But... Why my head is so painful???!!!
访问一下/hidden.php,这里要用bp抓包
flag{e0ab4aac-1889-4e06-a096-99e01c87bd63}
strange_login这题考察sql万能密码
' or 1=1 --' or 1=1 --
宇宙的中心是php查看源码
<!-- 你还是找到了......这片黑暗的秘密 --><!-- s3kret.php -->
访问一下/s3kret.php,拿到题目
<?phphighlight_file(__FILE__);include "flag.php";if(isset($_POST['newstar2025'] ...
CTF
未读这里主要是运用Flask中的钩子函数
钩子函数是指在执行函数和目标函数之间挂载的函数,框架开发者给调用方提供一个point-挂载点,至于挂载什么函数由调用方决定.
before_request()方法挂马before_request()是python装饰器,本质上是一个可调用的对象(函数或类), 它接收一个函数或类座位参数,并返回一个新的函数或类. 同时before_request()是一个Flask框架下的解释器,用于定义一个在每个请求之前执行的操作
原理:
self.before_request_funcs.setdefault(None, []).append(f)self.before_request_funcs.setdefault(None, []): before_request_funcs 是一个字典,用来存储不同蓝图(或应用程序级别)的 before_request 函数列表。setdefault 方法确保了当键 None 不存在时,会创建一个空列表作为其值。这里 None 代表应用级别的 before_request 函数。.append(f): 将传入的函 ...
Bottle简介Bottle是一个 超轻量级的Python Web框架 ,适合做小型 API、原型、教学示例或嵌入式应用。它把常用的 Web 功能(路由、模板、静态文件、HTTP 请求/响应处理)都放到一个很小的包里, 简洁、高效、零依赖。
引擎特性Bottle使用SimpleTemplate引擎或简称为 stpl,支持%语法。
SimpleTemplate 支持 Python 表达式,也因此容易出现 SSTI。
使用 类似 Python 的语法(表达式、方法、属性访问)。
支持 变量替换:{{ var }}。
支持 控制结构(以 % 开头):例如 %if、%for、%while(常用 %if、%for)。
默认不提供严格的沙箱环境 —— 即模板中通常可以执行 Python 表达式 / 调用内建对象,存在 SSTI 风险。
Bottle注入漏洞发现{{7*7}}%0a%%20print(7*7)
信息泄露{{request.environ}&# ...
