2302_80946742的博客

【代码】头歌C语言程序设计——递归函数。

反射型XSS也被称为非持久性XSS，当用户访问一个带有XSS代码的HTML请求时，服务器端接收数据后处理，然后把带有XSS的数据发送到浏览器，浏览器解析这段带有XSS代码的数据后，就造成XSS漏洞，这个过程就像一次反射，所以叫反射型XSS。存储型XSS又被称为持久性XSS，存储型XSS是最危险的一种跨站脚本漏洞，当攻击者提交一段 XSS代码后，被服务端接收并存储，当攻击者或用户再次访问某个页面时，这段XSS代码被程序读出来响应给浏览器，造成XSS跨站攻击，这是存储型XSS。

方法中的检查条件，需要确保序列化字符串中声明的属性数量与实际属性数量一致，但故意声明一个错误的数量。的值，我们需要利用PHP反序列化中的一个特性：如果序列化字符串中的属性数量与实际属性数量不匹配，然后，我们序列化这个对象，并修改序列化字符串，将属性数量从2改为1，这样在反序列化时。但生成的这个序列化字符串是不可以输出flag的，真正可以输出flag的序列化字符串是。在原始的序列化字符串中，将属性数量从2减少到1，这是为了绕过。，你需要构造一个序列化字符串，使得反序列化后的对象满足。打开题目后，点击三个？

但是这里蚁剑连接后得到的flag是假的，没办法了，只能看看phpinfo里面有没有。使用同样的绕过方式，传入phpinfo.php文件，然后访问。可以看到GIF89a，说明一句话木马已经上传成功了，并且被服务器成功解析执行。接下来我们就可以使用HackBar进行命令执行。可以看到ls命令是有作用的。将ContentType修改为image/jpeg即可成功上传。可以看到右边回显了文件上传成功的路径，我们去访问试试看。直接传一句话木马显然是行不通的。果然，能够搜索到flag。

Ctrl+U查看网页源代码，然后可以看到一个main.js文件，点进去之后就可以看到一串base64编码解码后就是flag本题完。

使用Burpsuite抓包只修改ContentType后发现也不能绕过，说明服务器使用了黑名单后缀限制，那么我们可以使用其他的后缀代替php，比如这里使用的phtml，ContentType改为image/jpeg，然后放行。cat命令查看flag.php的内容后发现不是正确的flag，看了别的师傅，原来flag在phpinfo中。与上面的绕过方法一致，传入phpinfo.php文件，然后访问搜索即可得到flag。蚁剑测试成功，但是添加后无法查看目录，我不知道是为什么。可以看到回显，不允许上传php文件。

如果 `admin` 属性等于 "admin" 且 `passwd` 属性等于 "ctf"，脚本会包含 "flag.php" 文件，并显示其 `$flag` 变量的内容。在这个例子中，攻击者可能会尝试提供一个序列化的 `wllm` 对象，其 `admin` 和 `passwd` 属性被设置成了 "admin" 和 "ctf"，以此来获取 "flag.php" 中的敏感信息。- 构造方法 `__construct()`：这是一个魔术方法，当一个新的 `wllm` 对象被创建时，会自动调用此方法。

admin 是 cookie 的名称，如果它的值为 1，则表示用户是管理员，可以包含其他 php 文件 for further processing。总的来看，这个脚本的主要用途应该是接受来自 URL 查询参数的输入，并试图在 shell 命令行中执行该输入。不过，如果输入包含空格，则执行会被中断。可以看到，ls命令是有作用的，所以我们只要能绕过空格限制，就能够执行我们想要执行的所有命令，相当于已经获得了管理员的权限。那么，要绕过这个脚本进行下一步，我们需要做的就是将请求中Cookie的值设置为1。

注意看这里的题目标签，目录扫描，.git泄露。那么这道题虽然打开是一个登录的界面，但是并不是我们熟悉的爆破和SQL注入。扫描的最后也给了几个文件，最后是在phpinfo.php文件里找到了flag。但是可以在题目标签上看到目录扫描，我们就用dirsearch扫一扫看看。虽然这里扫出来了git文件，但我试了试，没能成功下载。

这道题没啥好说的，题目标签为源码泄露，我们直接Ctrl+U查看网页源码就能在最后找到flag。

点击发送，可以看到success，关键的是Location后面的./a.php，说明浏览器已经跳转到了另一个页面。（XFF）是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。也就是说，我们需要借助X-Forwaeded-For来伪装我们的IP为127.0.0.1。然后点击发送，可以看到这里的Location已经变成了./secretttt.php。我们可以将GET后面的/hello.php更换为a.php看看这个页面里的东西。在Host的下面添加。

打开题目，只有一个图片，图片中间是一个一句话木马的一部分，意思是服务器可以执行通过POST的请求方式传入参数为wllm的命令，那这就是典型的命令执行，当然，也可以使用蚁剑或者菜刀连接这个木马。使用HackBar传入参数为wllm的ls命令，可以看到左上角有回显，展示了当前目录下的文件，说明命令有用。看不清的话，可以Ctrl+U查看网页源代码。一句话木马的详细介绍可以参考我的这篇文章。然后cat命令查看就能得到flag。这里使用到的工具是HackBar。然后返回根目录看看有什么。可以直接看到flag文件。

然后cat命令查看flllllaaaaaaggggggg文件中的内容就可以得到flag。这是一道很简单的RCE（远程命令执行），打开题目后可以看到一个php脚本。可以看到，system函数是可以使用的，使用ls命令正常回显了目录下的文件。直接传入url参数就可以执行相应的命令，先用system函数试试。这题也可以使用蚁剑直接连接就能查看目录，从而得到flag。那么我们看看根目录里面有什么。

因为extractvalue()函数只能返回32个字符，因此我们使用substring()函数解决这个问题：例如substring("abc",1,1)，此语句表示从第一个字符读取一个字符返回，在上面的payload中，我们得到的数据中，从第一个字符起读取30个字符返回。打开题目，提示输入一些东西，很显眼的可以看到网站标题为“参数是wllm”我们已经知道了字段数，直接爆库名（注意最后的空格）已经看到了flag字段，直接查看数据。报错了，可以判断为单引号闭合。可以看到一半的flag，然后爆表名（注意空格）

当它与包含函数结合时，php://filter流会被当作php文件执行。通俗来讲，convert.base64-encode是一种过滤器，read是用来指定读取的文章内容利用管道符，来进行条件的再筛选，后面要进行base64-encode，解码。file可以等于任何内容，也可以直接不填，因为这里需要的只是file这个参数，而不是需要它的值。我们这道题有两种解法，一个是利用远程包含，一个是利用php伪协议，我们这里使用伪协议来做。题目提示传入一个file参数试试，那我们就传一个file参数试一下。

这个脚本的挑战点在于找到使得$name和$password的MD5哈希值在弱类型比较下相等，但这两个值本身并不相等的输入。正确的解决方式通常涉及寻找或利用已知的“魔术哈希”值。这道题有两种解法，一种是寻找两变量值不相等，但md5后的散列值相等的一组数据，分别使用GET和POST两种请求方法传入即可得到flag。另一种是通过数组绕过的方式。

整个脚本的逻辑是：首先展示index.php的源代码，然后检查从用户提交的数据中是否包含特定的id值和JSON字符串。如果这些用户输入的数据符合特定条件，则返回一个所谓的“flag”。POST方式提交的id参数值为“wllmNB”。GET方式提交的json参数可以解码为一个包含的数组。则会执行echo $flag;语句，服务器会返回$flag变量中存储的信息。GET请求方式可以直接构造payload，POST请求方式可以使用HackBar这个浏览器插件。payload：?id=wllmNB。

拿到题目，打开后是一个计时页面，找不到什么有用的信息，组合键 Ctrl+U 看看它的源代码有什么。他的意思已经很明显了，flag就是在源代码里，那么我们可以使用 Ctrl+F 组合键搜索一下看看。一直看到最后，也没有发现源代码里有什么有用的信息，但是最后有一个提示。可以看到，flag就在源代码里，套上NSSCTF{}就是正确的答案。

Burp Suite 是一个由PortSwigger Web Security公司开发的集成的网络应用安全测试软件。它被广泛用于从事网络安全工作的专业人士用来测试Web应用程序的安全性。Burp Suite具有多种功能和工具，允许用户执行各种安全测试，包括但不限于：1. **拦截代理（Intercepting Proxy）** - 允许用户查看和修改从浏览器发送到服务器的HTTP/HTTPS通信，并拦截服务器的响应。

在开始打靶场之前，我们先来介绍一下一句话木马。一句话木马（One-liner Trojan 或 Webshell）是一种常见的网络安全攻击工具，通常用于Web服务器的非法控制。它称为“一句话”，因为攻击者只需在目标服务器上的一个可访问的Web页面中植入一小段代码，就可以实现对服务器的远程控制。这种木马通常以PHP、ASP、JSP等服务端脚本语言的形式出现，因为这些语言能够在服务器上执行。一句话木马的代码很简短，但功能却非常强大，能够接收远程命令并在服务器上执行这些命令。?