XCTF攻防世界_Web进阶区002

最新推荐文章于 2022-04-02 21:48:35 发布
最新推荐文章于 2022-04-02 21:48:35 发布
阅读量251 收藏
点赞数
分类专栏: XCTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FAFUxiaosong/article/details/109391068
版权

XCTF_Web_高手进阶区

Web_php_include(考察文件包含)

strstr函数:strstr(字符串,你要搜索的内容,false)
#字符串:也就是代码中的$page。例如:在url后面添加 /?page=123456,那么$page的内容就是123456。

#你要搜索的内容:也就是题目中的php://。意思就是该函数会从$page的内容里去寻找php://,而这里是一个while语句,一旦查找到php://,那么就会执行大括号里面的语句。

#false:该参数默认是false,也就是一般情况只需要写前两个参数即可。false代表匹配到php://之后,会输出php://和之后的内容。而如果为true,则会输出“php.”,也就是php://前面的内容。 例如URL为
http://111.198.29.45:50769/?page=php.php://input
那么传入的$page的内容就是php://input,而前面的“php.”就会被丢弃。

#注:strstr函数对大小写敏感,也就是会区分大小写。

str_replace()以其他字符替换字符串中的一些字符(区分大小写):
例如:str_replace(“1”,“2”,“123”)会输出223。因为会将全部的1替换为2。

在这里插入图片描述
打开页面是这样一段代码,从代码中得知page中带有php://的都会被替换成空,程序过滤掉了page=参数传入php://
strstr() 查找字符串首次出现的位置。返回字符串剩余部分

解法一(大小写绕过):
(1)由于strstr()这个函数是区分大小写的,所以可以用PHP://来代替。即http://220.249.52.133:45015/?page=PHP://input
在这里插入图片描述
(2)首先使用手动代理配置,打开burp工具,配置拦截请求,刷新网页后,进行burp抓包
在这里插入图片描述
在这里插入图片描述
(3)post传参<?php system("ls");?>,在burp中点击废包查看
在这里插入图片描述
在这里插入图片描述
(4)发送到Repeater,在重发器中点击发送,可看到fl4gisisish3r3.php
在这里插入图片描述

在这里插入图片描述
(5)继续post传参<?php system("cat fl4gisisish3r3.php");?>,即可看到flag
在这里插入图片描述
在这里插入图片描述
解法二:
(1)while函数根据page参数来判断php文件是否存在,如果存在此文件,则进行文件包含。代码中的hello是有回显的,可以命令执行然后回显到浏览器
在这里插入图片描述
(2)构造payload,默认页面为http://127.0.0.1/index.php,设置为page值,可确保while为真,让page参数用http伪协议访问127.0.0.1这个条件肯定为真。
在这里插入图片描述
(3)看到了三个文件,继续构造payload,查看fl4gisisish3r3.php,发现flag
在这里插入图片描述
解法三:
(1)用御剑扫描后台,会扫到phpmyadmin后台
在这里插入图片描述
(2)双击它进入登录界面,用户名输入为root,密码为空。(弱口令)进入
在这里插入图片描述
(3)进入SQL语句输入的地方,执行命令show variables like “secure_file_priv"查看secure_file_priv是否为空,为空则可以写数据,如果是null则不能写。
在这里插入图片描述
(4)进入SQL语句输入的地方,编辑一句话木马并执行select”<?php eval($_POST(shell);?> " into outfile ‘/tmp/songrong.php’
其中shell为口令,可任意修改,songrong也可修改。Linux默认tmp是可写目录,所以在tmp目录下写入
在这里插入图片描述
(5)然后打开菜刀类工具中国蚁剑,输入URL和密码连接
在这里插入图片描述
(6)连接成功后,打开文件管理,可发现flag
在这里插入图片描述
在这里插入图片描述

FAFU小宋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF-WEB进阶Web_php_unserialize
Lorezon的博客
03-15 547
打开题目是一堆源码: 主要看
XCTF攻防世界_Web进阶003
FAFU小宋的博客
10-30 155
XCTF_Web_高手进阶supersqli supersqli 这里使用谷歌浏览器 拿到题目后,发现是单引号报错字符型注入 用order by语句判断出两个字段:order by 2的时候页面正常回显,order by 3的时候页面出错。 使用union select联合查询,发现关键字select被正则过滤了 因此,需要绕过select的过滤 解法一: (1)堆叠注入/?inject=-1’;show tables --+ (2)发现了两张表,分别查询两张表中的字段, /?inject=-1’;
XCTF web进阶wp(一)
0xdawn的博客
02-28 973
001 Training-WWW-Robots 查看robots.txt,发现Disallow: /fl0g.php,打开后得到flag。 002 baby_web 初始页面为index.php,bp抓包查看响应就行 003 warmup F12拿到源码链接source.php hint.php:flag not here, and flag in ffffllllaaaagggg &l...
XCTFweb进阶练习题----自我做题思路writeup
qq_43573131的博客
11-26 389
快捷目录: 1.cat 2.2,ics-05(XCTF 4th-CyberEarth) 1.cat 考察知识点: Django框架 cURL漏洞
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
xctf.rar_HTML5自适应
09-19
这个"xctf.rar"压缩包包含了一个实现HTML5全屏滚动效果的源码,它能实现平滑滚动,并且能够自适应不同浏览器的显示。 全屏滚动,也称为全屏滑动或全景观览,是一种让网页内容以连续的全屏视图展示的设计方式。这种...
XCTF_A_应收管理标准功能培训.pptx
10-11
XCTF_A_应收管理标准功能培训】的PPT内容涵盖了Oracle财务系统的应收管理模块,这个模块是企业销售到收款流程中的关键部分。以下是基于提供的文件内容详细解析的知识点: 1. **销售到收款流程概览**: - 销售到...
XCTF_A_物料清单标准功能培训.pptx
10-11
XCTF_A_物料清单标准功能培训中,主要涵盖了Oracle系统的物料管理及相关流程,旨在提升用户对物料清单(BOM)的运用和理解。以下是详细的讲解内容: 1. **物料管理**: - **系统组织架构**:Oracle系统中的组织...
XCTF_A_成本管理标准功能培训.pptx
09-25
### XCTF_A_成本管理标准功能培训知识点梳理 #### 一、成本管理概述 - **培训目的**: 介绍Oracle标准功能中的成本管理模块,帮助企业更好地理解成本管理的重要性,并掌握其核心功能。 - **成本管理作用**: 成本管理...
XCTF web高手进阶_1-6
H4ppyD0g的博客
08-08 1046
1 ics-06 去报表中心,发现url后面跟的参数是?id=1,说明id是一个整数型,然后bp抓包,进行爆破id,2333成功。 ———————————— 2 NewsCenter 1' union select 1,2,3 #判断存在sql注入漏洞 (知识点:'是为了闭合前面的单引号,接着让它执行我们自己写的语句,#注释掉后面的后台语句) 1' union select 1,2,databas...
XCTF攻防世界web进阶练习_ 5_mfw
silence1_的博客
05-02 3479
XCTF攻防世界web进阶练习—mfw 题目 题目为mfw,没有任何提示。 直接打开题目,是一个网站 大概浏览一下其中的内容,看到其中url变化其实只是get的参数的变化 查看它的源码,看到有一个?page=flag,flag应该在这个页面里面 但是进入这个页面发现是空的 注意到有这样一个页面,说道用到了Git方法,想到是否可能和Git源码泄露有关 于是试一下http://111.198.2...
XCTF攻防世界web进阶练习_ 3_unserialize3
silence1_的博客
04-30 3878
XCTF攻防世界web进阶练习—unserialize3 题目 题目是unserialize3,是反序列化的意思,应该是关于反序列化的题 打开题目,是一段残缺的php代码 代码定义了一个类,其中有一个魔法方法_wakeup(),_wakeup()会直接退出,并输出" bad requests " 末尾有" ?code= " 看样子是要构造url来绕过_wakeup()这个函数了。 首先_wak...
XCTF攻防世界web进阶练习_ 1_NewsCenter
silence1_的博客
04-30 3040
XCTF攻防世界web进阶练习—NewsCenter 题目 题目是NewsCenter,没有提示信息。 打开题目,有一处搜索框,搜索新闻。考虑xss或sql注入,随便输入一个abc,没有任何搜索结果,页面也没有什么变化,考虑SQL注入。 随便输入123,用burp抓包,发现是post方式,因为sql注入技术太菜,直接用sqlmap爆破。 将http头保存为1.txt,试试用sqlmap爆数据库 ...
XCTF攻防世界web进阶easytornado
qq_60787987的博客
04-02 3638
打开题目我们可以看到如下界面: 点开flag.txt看到 /flag.txt flag in /fllllllllllllag 提示我们flag所在的文件。 点开welcome.txt看到render,这里就涉及到本题目的核心知识,模板注入。这个等下再讲。 接下来,点开hints就看到 /hints.txt md5(cookie_secret+md5(filename)) 涉及到知识有 render是python中的一个渲染函数,也就是一种模板,通过调用的参数不同,生成不同的网页 ren
[xctf]ics-05伪协议读取源码&&preg_replace() /e漏洞命令执行
qq_37301470的博客
11-20 271
ics-05 打开没有任何显示和可操作的点 先dirsearch没结果 后来发现上方的选项卡竟然是可以点的 有一个跳转 http://111.200.241.244:49357/index.php?page=index 终于可以勇敢get提交参数了 由于知道的东西太少了 故而试试可不可以通过伪协议读取 http://111.198.29.45:44740/index.php?page=php://filter/convert.base64-encode/resource=index.php base64
XCTF 进阶 RE re1-100
A_dmin的博客
07-15 1929
XCTF 进阶 RE re1-100 一天一道CTF题目,能多不能少 打开题目,发现是一个elf文件,直接用ida打开(64),找到主函数main 直接进行分析,函数太长就不贴了~ 找到如下代码: 这一堆的代码看上去就是检查一些东西的,比如说checkStringIsNumber()就是检查字符串是不是全部都是数字: 继续往下走,一步一步分析代码: bufParentRead这个应该就是我们...
xctf(web)-ics-06
i_am_not_hacker的博客
08-09 1186
进入index.php,发现可以进行id传参 使用burpsuite抓包进行爆破,抓包后,右键send to inturder,修改为对id进行爆破,然后载入字典,也可以在本地新建一个txt文件,写入1到自己认为合适的某个数,然后开始爆破。 在爆破到id=2333时,发现响应包长度不同,查看response,找到flag ...
XCTF(攻防世界)—进阶web题Write Up(一)
Lemon's blog
08-20 1671
前言:这段时间做了一些XCTFweb进阶题,真的是学习到了很多知识,就来总结一下。 Cat 一开始以为是命令注入,恰好最近学习了命令注入,就先来测试一下: 输入127.0.0.1,发现是可以ping通的 输入127.0.0.1 | phpinfo() 或127.0.0.1 & net user就会显示: Invalid URL 看来命令注入的方法是行不通的(其他连接符也被过滤了,如...
攻防世界traffic
最新发布
07-28
很抱歉,我无法理解你的问题。请提供更多的上下文或明确的问题,以便我能够帮助你。 #### 引用[.reference_title] - *1* *2* [xctf攻防世界 Web高手进阶 easytornado](https://blog.csdn.net/l8947943/article/details/126174257)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [攻防世界1](https://blog.csdn.net/charon145/article/details/121129480)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值