2.6学习记录
web
[ACTF2020 新生赛]Exec
感觉像一个命令执行题
ping一下本机回环地址,使用ls指令
发现只给了一个index.php,接着ls一下根目录
发现flag,直接cat一下
[GXYCTF2019]Ping Ping Ping
跟上面那道题类似
先ping一下本机回环地址,查看一下ls
发现flag,尝试读取
感觉被骂了,提示空格,说明应该是要空格绕过,先读取一下源码看看
发现黑名单太多,常规绕过费时间了,而且给了一个参数a,就想着尝试一下变量拼接绕过
flag在源码里
[MRCTF2020]你传你🐎呢
打开就是文明的页面
尝试传个马
被骂了,这题在源码里也没有什么黑名单,就采用htaccess绕过,先传一个.htaccess文件
<FilesMatch "1.jpg">
SetHandler application/x-httpd-php
</FilesMatch>
修改文件类型为image/png格式
再传图片马,一样的流程
传好了,也给了路径,接下来蚁剑连接就可以了
注意文件路径,flag就在目录里
misc
秘密文件
是一个流量包分析题,打开蓝鲨发现有个rar在里面
用foremost分离出来得到的压缩包发现有密码,暴力破解一下
神秘龙卷风
先爆破压缩包
得到图案
一眼脑操加密,用在线网站解密
大白
得到一张图片,但是发现好像宽高不对
用010修改宽高
