sszdlbw-CSDN博客

原创弱口令爆破

弱口令是指一些简单易猜的密码，可通过社工方式和一些爆破工具进行破解，以下介绍一款爆破工具的用法。burpsuite简称BP，一款可以利用字典破解账户密码的工具。

2025-04-14 23:28:59 1151

原创 BUUCTF-web刷题篇(25)

有三个按钮，flag点击后发现页面窃取客户端的IP地址，通过给出的github代码中的php文件发现可以通过XFF或Client-IP传入值。使用hackbar或BP。经系列测试知道是smart注入，Smarty是一个PHP的模板引擎，提供让程序逻辑和页面显示(HTML/CSS)代码分离的功能。

2025-04-13 22:18:36 379

原创 BUUCTF-web刷题篇(24)

页面显示两个按钮，一个WOOFERS,一个MEOWERS，任选一个出来相应图片，对应的url为/index.php?category=woofers(或index.php?出来的字符串发现很像base64编码后的字符串，于是解码得flag。

2025-04-13 22:17:00 241

使用御剑扫描域名得到flag的位置，得到flag.php在服务器根目录下，从前面的报错内容上看服务器根目录为/var/www/html，所以构造的blog为file:///var/www/html/flag.php。则data字段的值为file:///var/www/html/flag.php序列化后的结果，又因为blog被限制为url形式，所以不能通过join方式。页面显示：有login和join两个按钮，join应该是注册，输入数据后老是提示blog is not valid，是数字型注入，验证得到。

2025-04-12 22:57:57 427

原创 BUUCTF-web刷题篇(22)

刚才查看help的url为.../Download?filename=WEB-INF/web.xml（get方式），发现页面有改变，所以再试试post方式，构造payload:(使用hackbar或者bp)题目是easy java，关于Java，有可能是WEB-INF泄露：WEB-INF是Java的web应用的安全目录，如果想在页面直接访问其中的文件，必须通过web.xml文件对要访问的文件进行相应映射才能访问。下载好文件后打开有一串经过base64编码的字符串，解码试试，得到flag。

2025-04-12 22:53:06 328

原创 BUUCTF-web刷题篇(21)

输入1'报错提示bool（false）可知是字符型的布尔注入（盲注）已检测SQL注入，猜测某些关键词或者字符被过滤。尝试万能密码 1' or '1'=1。使用FUZZ字典爆破。

2025-04-11 22:45:10 399

原创 BUUCTF-web刷题篇(20)

这段SQL代码片段看起来像是针对MySQL数据库的SQL注入攻击尝试，它利用了MySQL特定的句法特性（如HANDLER语句）来尝试获取或操作名为FlagHere的表的数据。HANDLER FlagHere READ FIRST:紧接着，READ FIRST 指定尝试从已打开的FlagHere表中读取第一条记录。到了这一步，可以直接查看flag了，但是查询的时候出现了过滤字符，命令为2';

2025-04-11 22:43:23 977

原创 BUUCTF-web刷题篇(19)

可以把.user.ini理解为用户可自定义的php.ini配置文件，.user.ini的两个配置项，auto_prepend_file是在文件前插入，auto_append_file是在文件最后才插入。非法后缀，将flag.php改为flag.jpg，继续上传木马文件，显示<?.user.ini配置文件与.htaccess配置文件比较类似，概述来说，htaccess文件是Apache服务器中的一个配置文件，注意这几个字“改变文件扩展名”。访问题目源码，提示是.user.ini配置文件。

2025-04-10 23:18:31 859

原创 BUUCTF-web刷题篇(18)

给出链接点击访问，上传.htaccess文件（111.jpg），抓包后修改filename为".htaccess"，action到repeater，send后上传文件成功，即htaccess配置文件上传成功，我们可以上传的一句话木马代码可以当作php代码执行，于是上传flag.jpg（含一句话代码），抓包后，action到repeater，send后上传文件成功。url一般是该CTF题目的网址加端口再加上upload及后面的东西，也有可能不是upload。

2025-04-10 23:16:37 276

原创 BUUCTF-web刷题篇(17)

概述来说，.htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过htaccess文件，可以帮我们实现：网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。通过源码可以看出这道文件上传题目主要还是考察.htaccess配置文件的特性，倘若不先上传.htaccess配置文件，那么后台服务器就无法解析php代码，这个是需要注意的。.htaccess配置文件格式。创建.htaccess配置文件。

2025-04-09 23:04:42 654

原创 BUUCTF-web刷题篇(16)

代码审计后发现当参数op为2、str为带过滤的flag文件名作为url参数可以查看flag文件，序列化的代码如下，得到结果后注意序列化为字符串的参数个数和字符串长度，修改后得到url的字符串形式的对象参数。

2025-04-09 23:00:48 388

原创 BUUCTF-web刷题篇(15)

或者可以通过bp，发送到repeat，修改get为post方式，添加Content-Type:application/x-www-form-urlencoded，passwd=1234567a或者passwd=1234567%00。还有一个post方式传入参数passwd，传入时不是数字字符串，但结果与1234567相等。用post方式传递参数passwd，首先用is_numeric判断是否为数字，如果不是数字就判断是否是1234567，重点就是绕过is_numeric的检查，通过%00空字符来进行绕过。

2025-04-08 22:59:16 360

原创 BUUCTF-web刷题篇(14)

发现只有一半，因为只能输出32字符，我们可以用right函数来获取后面的字符，right(password,32)(可以换成30，因为后面还有个}和~，32只是因为没有影响就没改)万能密码和双写绕过都不起作用，尝试报错注入(datexml和extractvalue两种)发现错误，应该有过滤，经过测试，至少and，空格，等于等被过滤。那就用^代替and，用（）代替空格，like代替=拼凑即可获得flag。

2025-04-08 22:56:47 364

原创 SSRF漏洞利用的小点总结和实战演练

SSRF（Server-Side Request Forgery，服务器请求伪造）是一种由攻击者构造请求，由服务端发起请求的安全漏洞，一般情况下，SSRF攻击的目标是外网无法访问的内网系统。找到yzm的漏洞模块，发现可以添加节点，那我们就写一个ssrf.html的文件放在根目录的yzm文件夹里，里面引入其他文本的链接实现模拟攻击。总结：简单理解一下，ssrf漏洞是围绕url的导向进行的，上传的php文件让内网服务器指向其他相连的服务来达到攻击目的。#对于不同的靶场，可以直接百度查找它的漏洞以及漏洞模块。

2025-04-07 19:59:42 445

原创 CSRF漏洞利用的小点总结及实验思路（使用OWASP工具）

利用phpstudy搭建自己的网站（开启apache和MySQL），例如localhost/bachang，在上传资料或者登陆注册界面会有提交表单，利用BP或者OWASP生成攻击文件链接，将生成的HTML文件放在攻击机的网站根目录下（可以用虚拟机测试），生成url链接，如果主机访问http://虚拟机IP/xx.html（即刚才生成的攻击文件），就已经中招了。开启phpstudy，启动apache和MySQL（具体内容查看上一篇），访问目标网站localhost/pika，并修改信息。

2025-04-07 14:19:16 239

原创 RCE漏洞的小点总结

在很多web应用中，开发人员会使用一些函数，这些函数以一些字符串作为输入，功能是将输入的字符串当作代码或者命令来进行执行。当用户可以控制这些函数的输入时，就产生了RCE漏洞。RCE漏洞是非常严重的安全漏洞，一旦出现，就意味着攻击者可以获取服务器的命令执行权限，从而对服务器安全造成极大的影响。建立3.php文件，访问localhost/3.php?x=ipconfig或者其他的系统命令。访问localhost/2.php?RCE简介与危害：包括远程代码执行和远程命令执行漏洞。

2025-04-06 20:40:05 246

原创 CSRF漏洞利用的小点总结

在CSRF的攻击场景中，攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击这个请求，整个攻击就完成了，所以CSRF攻击也称为one-click attack。点击192.168.172.12/sex.html的恶意链接，就会触发攻击，从而无意间修改自己的信息。如果第一次访问，先对其进行初始化，访问localhost/pika/install.php。上述的文件目录是从目标网站的修改界面信息收集到的，保持一致。访问localhost/pika，就可以访问靶场网站。

2025-04-06 20:36:05 383

原创 BUUCTF-web刷题篇(13)

分析：有三个参数需要以get方式传入，发现有file_get_contents()，所以要使用php伪代码，preg_match("/flag/",$file)说明正则匹配不能含有flag，同时还有反序列化，存在漏洞。存在反序列化操作，我们可以利用该代码修改变量file后添加输出后，进行序列化操作，再传输给password让其输出即可。出现base64码，用base64解码器或者wsl解码后得到。运行获取结果后，传给password。已知前两个参数的值，上传。

2025-04-05 22:04:46 494 1

原创 BUUCTF-web刷题篇(12)

render是python中的一个渲染函数，也就是一种模板，通过调用的参数不同，生成不同的网页，如果用户对render内容可控，不仅可以注入XSS代码，而且还可以通过{{}}进行传递变量和执行简单的表达式。当前使用的一些框架，比如python的flask，php的tp,java的spring等一般都采用成熟的MVC模式，用户的输入先进入Controller控制器，然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断，数据库存取，最后把结果返回给View视图层，经过模板渲染展示给用户。

2025-04-05 22:01:51 1113

原创 BUUCTF-web刷题篇(11)

这道题很可能用admin或者伪造admin进行登录，用admin进行登录，随便填写密码进不去，发现页面有register、login，用admin注册提示已经被注册。爆破之后提示429和302，可以看一下429的response，提示的是太多请求的问题，更改options的选项。进入登陆界面，用户名输入admin，密码随便写，抓包对密码进行爆破：action向intruder发送。控制数据量，正常返回结果就有一个，payload的长度是不同的。可以确定admin的密码是123，登录即可得到flag。

2025-04-04 15:36:37 231

原创 BUUCTF-web刷题篇(10)

如果在项目中遇到MD5加密结果不一致的问题，可以观察两个加密结果的长度是否相同，比如一个结果是16位，而另一个结果是32位，这种情况就可以考虑更换输出格式来解决。而在mysql中，在用作布尔型判断时，以数字开头的字符串会被当成整型，不过由于是字符串，因此后面必须有单引号括起来的，比如:'xxx'or'6xxxx',就相当于'xxx'or 6，就相当于'xxx'or true，所以返回值是true。aeb=a*10^b。绕过思路1：遇到弱比较（md5(a)==md5(b)）时，可以使用0e绕过。

2025-04-04 15:34:10 1083

原创 BUUCTF-web刷题篇(9)

变量password使用POST进行传参，不难看出来，只要$password == 404为真，就可以绕过。函数is_numeric()判断其中的参数是数字还是其他，如果是数字则判断为真，否则为假。这里我选择传入的参数为404a (用hackbar传参)随后就会得到nember lenth is too long ，意思为money的长度太长到这里没了什么思路，但是看到他的php版本后，问题就简单了，众所周知php5.3.3有一个漏洞，可以利用函数strcmp()进行绕过，所以得到一个payload。

2025-04-03 21:17:09 583

原创 BUUCTF-web刷题篇(8)

可以看出原页面通过js将表达式传给calc.php，同时calc.php对传入的参数进行了一些限制后使用eval函数输出结果。我们尝试了提交非数字的字符报错，我们审计代码后，发现可能是num变量被waf过滤了；PHP会将查询字符串（在URL或正文中）转换为内部$_GET等关联数组。有一个名叫f1agg的文件，感觉像是flag文件，我们尝试打开。通过查阅资料我们可知这里需要利用php的字符串解析特性。查看源码，发现有段代码有php文件，即calc.php。尝试扫描下这个文件下的包含文件。

2025-04-03 21:11:22 574

原创 BUUCTF-web刷题篇(7)

在web题中我们会经常用index.php或者flag.php来查找一些信息，这道题考虑到备份文件，所以尝试在这些后面加上备份文件的后缀来访问。查看源码没有什么有用信息，也没有登录界面，所以也不会用到蚁剑链接来找备份文件，所以大概率就是通过构造playload来查找备份文件。.zip/.rar:表示压缩文件的备份，通常将原文件或文件夹压缩成.zip或.rar格式的文件作为备份。.old:表示旧版本文件的备份，通常是在原文件名后面加上.old。.bak:表示备份文件，通常是在原文件名后面加上.bak。

2025-04-02 21:25:45 487

原创 XSS漏洞的分类解释和演示实验

XSS漏洞：跨站脚本攻击(cross site scripting)，为了不和CSS混淆而改名。攻击者网web插入恶意script代码，当用户浏览页面时，嵌入的代码会被执行。危害：盗取各类用户，强制发送电子邮件，网站挂马等。XSS主要分为三种类型：反射型、存储型、dom型。

2025-04-02 21:22:17 752

原创文件包含绕过的小点总结(2)

例如访问：http://localhost/upload.php?访问：http://localhost/upload.php?例如访问http://localhost/upload.php?

2025-04-01 21:59:28 615

原创文件包含漏洞的小点总结

filename=1.txt（upload.php文件内容意为使用GET方式将文件名参数传入，执行包含指令），访问如图（即使是txt文件，但是include会将其按php文件进行解析）我们再使用文件包含，即访问http://localhost/upload.php?感受一下使用phpstudy的文件上传，开启phpstudy的apache服务，在网站根目录新建两个文件。文件包含有本地包含与远程包含的区别：本地包含只能包含服务器已经有的问题；如果服务器对上传的文件有限制，我们需要做绕过处理将文件包含进去。

2025-04-01 20:31:10 628

原创 BUUCTF-web刷题篇(6)

（思路：在class.php中发现反序列化函数，写序列化函数将对象转化为字符串，通过get方式以select为载体得到该字符串，调用反序列化函数，调用的过程中会自动调用__wakeup()函数，所以通过反序列化变量个数与实际不符绕过__wakeup()函数，最终输出flag）③__destruct()//在到某个对象的所有引用都被删除或者当对象被显式销毁时执行或者当所有的操作正常执行完毕之后，需要释放序列化的对象即在脚本结束时（非unset）php才会销毁引用，一般来说在脚本正常结束之前运行。

2025-03-31 19:57:25 792

原创各服务器的解析漏洞小点总结

使用BP拦截，将请求内容发送至repeater模块，并将请求内容改为上传asp请求内容(1.jsp里面将IP一改复制过去即可)，send后，在主机访问ip:port/1.jsp?访问IP，上传图片马文件webshell.png，上传成功后会显示图片马在服务器的路径，在主机拼接路径后加上/a.php就可以执行图片马文件内容，如下:(直接写/.php也可以访问)Windows主机上使用tomcat，并且使用http put请求方式，其存在解析漏洞，即使上传123.asp.jpg文件，其也会认为是jpg文件。

2025-03-31 13:30:32 452

原创 BUUCTF-web刷题篇(5)

按照传统方法，新建文件（xinjian）写一句话木马，利用Windows文件后缀识别的特点，将后缀名改为图片后缀名(xinjian.jpg)，上传文件，抓包改包。检查与您的MariaDB服务器版本对应的手册，以便在第1行'1=1#'和password='1''附近使用正确的语法。双写可以绕过，后面遇到同样被过滤的词，直接双写就OK了。发现or被过滤了，试试双写将or换为oorr。可以在页面上返回信息的是2，3字段。字段为1，2，3的时候页面显示为。②联合查询1，2，3字段。构架url用蚁剑连接。

2025-03-30 22:05:31 273

原创 BUUCTF-web刷题篇(4)

特别值得注意的是，一个动态GIF是一个以GIF89a格式存储的文件，在一个这样的文件包含的是一组以指定顺序呈现的图片。文件后缀不能为php，文件绕过的格式也有php,php3,php4,php5,phtml,pht，那我们挨个试一遍，发现.phtml是可以正常绕过的，但是出现新的问题，不能存在<?但我们不知道这个文件我们上传的位置在哪里，只能靠猜，一般的文件上传的位置都是upload/shell1.phtml，添加成功后，就能看到服务器的目录。看到上传的漏洞，我们的想法是新建一个文件，里面是一句话木马。

2025-03-30 21:58:02 488

原创 BUUCTF-web刷题篇(3)

查看网页源代码，发现Secret.php，点开后发现是"it doesn't come from 'https://Sycsecret.buuoj.cn'"，提示该网页的Referer头为"https://Sycsecret.buuoj.cn",在请求头中添加Referer:https://Sycsecret.buuoj.cn字段发送请求后得到响应为。1）概述：User-Agent是HTTP请求中用来检查浏览页面的访问者在用什么操作系统（包括版本号）浏览器（包括版本号）和用户个人偏好的字段。

2025-03-29 20:47:14 950

原创 BUUCTF-web刷题篇(2)

show tables#（爆出表），本题解析后发现后台的语法可能是select.POST['参数']||flag from Flag 因此可以输入*,1来显示全部内容，最后得到flag。是代码审核，这里使用了filter伪协议，当我们利用该协议查看flag.php时会把源代码爆出来，使用secr3t.php?④输入order by 例如：1 order by 2#（当使用order by去试探有多少个字段时，返回的是nonono，所以猜测order by参数被过滤了（即联合查询注入行不通））

2025-03-29 20:44:52 378

原创文件上传绕过的小点总结(10)

简单思路：开启BP拦截，上传loudong.jpg文件，BP拦截数据，将save_name改为save_name[0]，并将upload-20.jpg改为upload-20.php，再增加一个元素save_name[2]，设值为jpg，关闭拦截。两者的差异来源就是count($file)-1，两种情况的值都为1，但第二种情况，save_name[1]为空，save_name[2]设为jpg，但形同虚设。于是我们利用这种数组上的漏洞，修改save_name数组值，就可以绕过限制。复制图像链接，直接访问。

2025-03-28 10:43:25 342

原创文件上传绕过的小点总结(9)

从BP拦截的name="save_name"中可以看到，服务器对上传文件做了重命名，那么我们可以利用文件名截断的方式上传漏洞，上传文件loudong.jpg，服务器改为upload-19.jpg，我们就在拦截中改为upload-19.php%00.jpg。上传loudong.jpg后，服务器改为upload-19.jpg，我们改为upload-19.php/.源码给出黑名单限制和服务器对文件名的重命名处理。访问.php文件即可，后面的jpg直接删掉。我们对文件重命名有两种方法。

2025-03-28 10:42:22 508

原创文件上传绕过的小点总结(8)

apache存在解析漏洞，即后缀为.php.*的文件，都被视为php文件，我们可以利用这个漏洞上传木马文件，比如后缀为.php.7z，利用条件竞争上传文件。访问http://localhost/uploadinfo.php.7z或者https://localhost/upload/info.php.7z。clear全部字段，info.php.7z后面加空格，并对空格进行add。设置payload，并设为持续爆破，start attack开启爆破。（可能会被上传到根目录下）

2025-03-27 17:20:51 654

原创文件上传绕过的小点总结(7)

但是系统文件有个特点，即文件打开状态是不能删除的，我们利用这个特点爆破型上传文件，即使服务器想要删除文件，但是文件处于一个打开的状态，它也难做到，这就是条件竞争。因为我们要爆破的参数只有一个，并且不需要添加字典，所以payloads set设为1，payload type设为null payloads，选择continue indefinitely。上一篇《文件上传绕过的小店总结(6)》提到的二次渲染，有两种方式进行绕过，一个是文件包含绕过，另外一个是条件竞争绕过。上传info.php文件。

2025-03-27 14:47:06 406

原创 BUUCTF-web刷题篇

ffffllllaaaagggg，打开文件之后发现没有什么关键信息，应该是键入的路径不对，但是我们不清楚它的具体位置，所以用5次../返回，即键入source.php?file=php://filter/read=convert.base64-encode/resource=flag.php，打开文件后得到伪代码，使用工具进行解码得到源代码，即。从带有GET 方法的表单发送的信息，对任何人都是可见的（会显示在浏览器的地址栏），并且对发送的信息量也有限制（最多 100 个字符）127.0.0.1;

2025-03-26 21:57:13 860

原创文件上传绕过的小点总结(6)

很多服务器为了防止代码嵌入图片，通常会将上传的图片进行重新生成处理，包括文件格式转换等等，嵌入的恶意代码很容易被改掉。于是产生了二次渲染，二次渲染的原理就是找到服务器处理文件的保留块，并且将恶意代码插入其中，进行攻击操作。修改好后上传文件，复制图像链接，在文件包含页面中连接参数访问(文件包含页面给的是GET方式请求)，访问成功。简单思路：打开cmd使用命令将info.php嵌入image.gif生成一个新的图片木马文件shell.gif，并上传。服务器经过文件处理会重新生成一个新文件，保存至本地。

2025-03-26 21:36:35 566

原创文件上传绕过的小点总结(5)

说明是以2个字节的方式读取的，图片使用编辑器打开的首字段是"PNG"，而php文件打开是"<?"，很容易发现上传PHP文件。上传图片马成功后复制图像链接，例如http://localhost/upload/565465656454.png。对于%00截断，GET方式可以自动解码，但是POST方式不能自动解码，遇到这种问题，手动解码就行。前文《文件上传绕过的小点总结(4)》中提到的是%00截断绕过的GET方式。如果以POST方式请求，url后面不跟参数，在body里面添加%00。

2025-03-25 11:53:28 772

空空如也

空空如也