- 博客(20)
- 收藏
- 关注
RSS订阅原创 buu web:[护网杯 2018]easy_tornado(tornado render模板注入漏洞)
打开靶场分别看一下有什么应该都是一些小提示,可以看到url上的filename参数有点可疑,我们将第一个提示中的/fllllllllllllag放进去看看报了个错然后我们可以看到页面的Error也出现在了url上,我们换成其他东西试试很可疑,可能存在模板注入,测试一下:{{2*2}}这里我就看不懂了,百度了一手,才知道这是一个tornado render模板注入漏洞(我不懂原理,大家可以去看看大佬的题解),可以通过{{handler.settings}}拿...
2022-04-18 15:28:49
215
原创 buu web:[ACTF2020 新生赛]BackupFile(源码泄漏+PHP弱类型)
打开靶场让我们找源文件,右键源代码里啥都没有, 那就拿扫描器扫一下(但是buu有防扫机制,我线程开多低都扫不出来,只能去看看别人的扫描结果),扫到一个index.php.bak,下载下来看看,发现是index.php的源码<?phpinclude_once "flag.php";if(isset($_GET['key'])) { $key = $_GET['key']; if(!is_numeric($key)) { exit("Just num!"
2022-04-18 14:18:03
2258
原创 buu web:[极客大挑战 2019]PHP(源码泄漏+反序列化)
打开靶场提到了网站备份,说明可能存在源码泄漏,御剑或者dirsearch扫一下目录,扫出来一个www.zip下载完打开看一看直接看到了flag.php,继续打开这玩意一看就是假的,还是老老实实的代码审计吧先看index.php<!DOCTYPE html><head> <meta charset="UTF-8"> <title>I have a cat!</title> <link re..
2022-04-18 13:38:19
2246
原创 buu web:[极客大挑战 2019]BabySQL(sql注入双写绕过)
打开靶场,熟悉的界面依旧是先上万能密码1' or 1=1# 1' or 1=1#好家伙,直接就给你报错了,可以看到,or被它过滤掉了,所以我们尝试一下双写绕过1' oorr 1=1# 1' oorr 1=1#成功登录!可以拿admin回去登录界面继续注入了,先爆字段admin' oorrder by 2#(密码随便输)提示在字段数附近有报错,猜测可能是by也被过滤了,依旧是双写绕过admin' oorrder bbyy 2#可以的,通过...
2022-04-18 12:47:40
3027
原创 buu web:[RoarCTF 2019]Easy Calc
打开靶机,可以看到是一个简单的计算功能看一下源代码,发现了我看不懂的js代码但是里面有说到一个calc.php,看一下里面有什么soga,原来是waf,可以传入num参数,但是黑名单结合正则匹配过滤了不少字符,试了一下发现还不能是字母,最终可以通过eval函数执行命令。没啥思路,去看一下别人的wp,原来可以用php字符串解析特性来绕过waf,就是可以在num前加个空格,变成“ num”,而不是“num”。但php在解析的时候,会先把空格给去掉,这样我们的代码还能正常运行,神奇
2022-04-12 10:25:55
107
原创 buu web:[ACTF2020 新生赛]Upload
打开靶机,发现是一个文件上传窗口老规矩,先上传一句话木马发现有白名单,所以我们试一下先将.php后缀改成.jpg,再用burp抓包给他改回来(就是看一下它是不是前端验证)发送左上角有报错,看来没这么简单,试一下上一道题的phtml后缀方法放包成功上传,并且给出了路径,直接上蚁剑成功!...
2022-04-10 18:41:30
848
原创 buu web:[极客大挑战 2019]Upload
打开靶机,发现是一个文件上传的窗口先上传个一句话 hack.php提示不是image格式,所以得用burp抓包修改一下,进行MIME绕过(MIME由一串简单的字符串组成,初期标识了邮件e-mail的附件的类型,后来在html文件中可以用Content-Type属性表示,描述了这个文件的类型)将Content-Type这里改成image格式,可以是image/jpeg,其他的大家可以百度发送提示不能是php,说明php已经被过滤了 ,百度了一下绕过方法,发现了一个叫phtml.
2022-04-10 18:19:24
2129
原创 buu web:[极客大挑战 2019]Http
打开靶机没能获得啥有用信息,查看一手源代码,发现有个Secret.php打开看一下大概懂了,我们只需要用burp伪造一下它的Referer为https://Sycsecret.buuoj.cn就可以了(HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。)burp抓包,发到repeater点击header,添加Referer,值为..
2022-04-10 16:03:06
2392
原创 buu web:[极客大挑战 2019]LoveSQL
打开靶场,又是熟悉的登录框直接丢万能密码:1' or 1=1# 1' or 1=1#成功登录了进来,但是只给了一个用户名和密码我们回去看一下有没有sql注入漏洞:admin'aa8a6c9bff8a201103d9b20b96b2dc3a发现有报错,order by 查字段,发现admin' order by 4#时报错,admin' order by 3#正常所以能确定是3,联合查询看看有没有回显1' union select 1,2,3#发现回...
2022-04-10 15:23:34
812
原创 buu web:Ping Ping Ping(命令执行)
打开靶机,提示get传参直接?ip=127.0.0.1返回ping的结果,接着试一下命令执行?ip=127.0.0.1|ls发现疑似flag的flag.php,试一下能不能直接读出来?ip=127.0.0.1|cat flag.php果然没这么简单,空格被过滤了,百度了一下绕过的方法cat flag.txtcat${IFS}flag.txtcat$IFS$9flag.txtcat<flag.txtcat<>flag.txt挨个试一下,发现..
2022-04-07 10:52:59
749
原创 buu web:Secret File(抓包+文件包含)
打开靶场页面没啥提示,查看一手源代码发现有一个Archive_room.php,打开看一下点击哦,什么东东,回去看一下Archive_room.php的源码发现还有一个action.php,但是我们访问的时候,它直接跳到end.php,所以我们用burp抓包看一下拿去repeater发送发现还有一个secr3t.php,回去题目打开看一下有include,文件包含!传入的file参数做了一些过滤,我们先?file=flag.php...
2022-04-07 09:54:32
645
原创 buu web:Exec(命令执行)
打开靶机,看到是一个ping窗口,然后结合题目名Exec,基本可以确定是命令执行漏洞先ping一下本地ip正常回显,试一下命令执行,127.0.0.1 | ls爆出当前目录下的index.php,然后通过目录穿越,找到了flag在这个目录下,127.0.0.1 | ls ../../../然后直接127.0.0.1 | cat ../../../flag成功相关知识点:Windows:&:前面语句为假时直接执行后面的命令&&..
2022-04-07 09:15:19
1509
原创 buu web:Online Tool(nmap文件写入)
打开靶场,好家伙,上来就是代码,我喜欢老规矩,找核心代码echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);这里调用了system函数使用了nmap命令,只有host参数是可控的,并且它是以get方式传入的,我们先测试一下本地ip:?host=127.0.0.1正常回显,我们往回看看怎么利用if(!isset($_GET['host'])) { highlight_file(__FILE__);} e
2022-04-05 13:58:07
574
原创 buu web:EasySQL(MySQL堆叠注入)
打开靶机,发现是一个查询框输入1,提交,有回显输入1',提交,没有回显,应该是没有显示报错信息,那么报错注入就行不通了然后就是联合查询,时间盲注,布尔盲注,堆叠注入等一顿输出,发现除了堆叠之外,其他基本上都是有过滤的,如下那我们就用堆叠呗,输入1';show databases;,发现没回显,难道是数字型注入?输入1;show databases;,果然成功爆出数据库接下来看看当前数据库下有哪些表,1;show tables;flag应该就在这里了,但是过滤...
2022-04-01 22:20:19
1481
原创 buu web:Include(文件包含)
打开靶场有一个小tip,打开看一下发现它的url是这样的,是不是很像warm up的文件包含?结合题目名字Include, 我敢肯定就是文件包含(滑稽),而且它给出了flag.php,但是没有直接显示flag,可能被隐藏了,所以用php伪协议(关于伪协议可以看一下这篇文章https://segmentfault.com/a/1190000018991087)(我也不会,照猫画虎)读取一下flag.php,payload为?file=php://filter/read=convert.
2022-03-28 10:53:08
820
原创 buu web:Havefun
打开靶场,看到一只可爱的小猫老规矩,看一下源代码,拉到最后才发现了一串核心代码没啥好说的,用get方式传入cat的值为dog,就能打印出一个类似flag的东西,直接上payload:?cat=dog我爱水题...
2022-03-28 10:34:54
108
原创 buu web:EasySQL(sql万能密码)
sql的基础知识默认大家都会了,不会的先去了解一下打开靶场,发现是一个登陆界面看到是easy,直接丢一手万能密码:1' or 1=1# 1' or 1=1#,登录nice!
2022-03-28 10:25:40
227
原创 buu web:warm up(PHP代码审计)
启动靶机,发现了这么个玩意查看一手源代码<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content="ie=edg
2022-03-28 00:17:12
2619
3
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人