备份文件下载
vim缓存
在使用vim时会创建临时缓存文件,关闭vim时缓存文件则会被删除,当vim异常退出后,因为未处理缓存文件,导致可以通过缓存文件恢复原始文件内容(隐藏文件index.php.swp前加 . )
以 index.php 为例:第一次产生的交换文件名为 .index.php.swp
再次意外退出后,将会产生名为 .index.php.swo 的交换文件
第三次产生的交换文件则为 .index.php.swn
.DS_Store
文件上传
无前端验证:上传小马文件,用中国蚁剑连接,得到flag; 有前端验证的禁用js,同样用上述方法
.htaccess
.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置,通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
简单来说,就是我上传了一个.htaccess文件到服务器,那么服务器之后就会将特定格式的文件以php格式解析。
wp: AddType application/x-httpd-php .png // .png文件当作php文件解析
上传.htaccess文件,当上传.htaccess文件到upload目录时,upload目录下的文件会按其配置生效解析。再上传一句话木马文件(后缀名为png,与上面一句话对应)
MIME类型校验就是我们在上传文件到服务端的时候,服务端会对客户端也就是我们上传的文件的Content-Type类型进行检测,如果是白名单所允许的,则可以正常上传,否则上传失败。
wp: 文件上传之白名单绕过,先上传小马,抓包修改content-type为image/jpeg,放包发现上传成功,再连接中国蚁剑,查看flag
Web-SSRF
URL Bypass
给出提示,url参数的值中必须包含有http://notfound.ctfhub.com
可以采用@,也就是 HTTP 基本身份认证绕过
HTTP 基本身份认证允许 Web 浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。
也就是:http://www.xxx.com@www.yyy.com形式
构造题目所需 Payload:
?url=http://notfound.ctfhub.com@127.0.0.1/flag.php
IP Bypass
同样web目录下存在flag.php,必须从本地访问,尝试本地访问flag.php
多次尝试提示127|172|@|被禁止
用特殊地址http://0/flag.php或用http://localhost/flag.php
302Bypass跳转
同样web目录下存在flag.php,用上述方法尝试发现被禁止,尝试用特殊地址绕过
DNS重绑定
与之前一样用?url=127.0.0.1/flag.php访问,..... 提示不允许企业内部IP访问,尝试使用file协议读取源码:?url=file:///var/www/html/index.php得到index.php页面的源码(查看源码),与CTFHub技能树 Web-SSRF 302跳转 Bypass一样的黑名单,但题目要求以DNS重绑定的方式绕过。
通过rbndr.us dns rebinding service网站设置DNS:
127.0.0.1 127.0.0.2
使用生成的域名构造payload即?url=7f000001.7f000002.rbndr.us/flag.php得到flag