- 博客(8)
- 收藏
- 关注
RSS订阅原创 PHP 利用数学函数绕过过滤限制
hex2bin转换出来了,那么再将system('ls')转成十六进制——73797374656d28276c732729,作为这个函数的参数,结果:base_convert(37907361743,10,36)(73797374656d28276c732729)。我最开始的想法(没成功,但是绕过方法是对的)是直接构造:c=system('ls'),根据过滤规则,要把system、ls用白名单中的函数表示出来。/[a-z][0-9]*/则是可以匹配一个字母+任意数量的数字。搞不懂,就测试了一下。
2025-02-05 17:59:35
2221
原创 Python pickle反序列化漏洞
这样当该序列化后的对象反序列化时,pickle.loads就会调用其中的__reduce__(),得到执行后的结果,形成任意代码执行漏洞。得到的是一个使用了tornado框架的python web项目,作为新手我搜了下该项目中这个框架大概就是各个py文件处理服务器初始化、数据库、url路由等等,然后模板文件夹里面放了各个页面的html,由那些py文件中处理好的数据渲染这些模板html。,并改变username为admin,得到账号为admin的JWT,再将该JWT填入截到的包里面,成功进入admin页面。
2025-02-01 12:23:46
1995
原创 Phar反序列化漏洞
但是在类文件class.php中,可以看到File类中有得到文件内容的方法close(),而输出该内容的方法则是类FileList中的__destruct(),FileList中还有可以自动触发的魔术方法__call(),且该方法作用是赋值成员变量文件内容,再通过__destruct()输出该成员变量。在delete.php中有这种文件操作函数,那么将构造好的phar文件上传后,开始抓包,删除该文件,将通过文件名访问方式,改为通过phar://访问方式,就可以成功得到flag。
2025-01-28 19:22:24
300
原创 SQL盲注
:(ord(substr((select(flag)from(flag)),1,1))=102)),回显SQL Injection Checked.,发现(or被过滤。既然输入1会出现查询正常的回显,那个可以将该参数作为一个sql布尔表达式,表达式判断正确返回true则会回显1出现的内容,判断错误则回显bool(false);burp跑字典发现过滤了绝大多数关键词如select、空格等等,不过这个过滤是和其他字符组合过滤的,比如select或者1(select并不会被过滤;尝试使用该布尔表达式(
2025-01-26 14:38:17
485
原创 PHP session反序列化漏洞
1.通过代码分析,题目思路大概为,将可控的session变量序列化,session_start()自动将session变量反序列化,在脚本结束时触发析构函数,写入一个文件,其中内容包含一个一句话木马,最后手工注入或蚁剑连接。这里基本过滤了所有可用于sql注入关键词,但是ini_set中提示了关于session的序列化,且类中析构函数写入了一个文件。3.再访问check.php或者inc/inc.php,再访问log-1.php获取到flag。其中$_SESSION['limit']的值可控。
2024-11-27 21:00:52
293
原创 命令注入漏洞
1=*>z,将 * 对应的命令输出结果重定向到z文件,由于没有文件后缀,默认访问直接可以下载,文件内容即 * 的输出结果。三、分析:将命令长度限制在了4,可以通过nl命令打印文件内容。二、linux输出重定向符号 > 的通常用法。两个文件内容已经被nl正确按行顺序打印。,第一次写入空内容:1=>nl。根据ls得到目录下文件列表。
2024-11-25 21:27:20
290
原创 登录MySQL数据库admin账户
1.在注册部分trim函数无法去除字符串中间的空格,保持原样。在判断时舍弃超出部分但仍多了空格,绕过admin检测。在插入时while语句舍弃超出部分,3.注册一个类似admina账户,登录,成功获取flag。2.MySQL有一个where插入数据规则,字段超出规定长度会自动舍弃超出部分。2.登录部分用admin账号加上注册的密码登录。一、靶场:ctfshow红包题辟邪剑谱。,这样就能插入一个admin账户。
2024-11-25 17:24:24
213
原创 SSRF漏洞
原理解释:与外网相连的主机,由于业务需要连接一些内网中保存资源的主机,由于这个与外网相连的主机没有做url过滤,可以利用存在SSRF的函数(比如curl_exec($url)),这些危险函数中能够接收到内网主机url资源的请求并返回,导致攻击者可以请求任意资源。gopher://IP:PORT/_{TCP/IP数据流}Gopher协议格式--
2024-11-24 22:38:51
64
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人