web21:【自定义迭代器】
先抓个包:发现authorization(授权)后面的basic认证很奇怪,用base64解码看看就是输入的用户名和密码
返回包里出现乱码,但可以看到admin,猜测用户名就叫admin
知道了爆破登录的形式是xxx:xxx 可以用自定义迭代器自己构造出payload的形式
爆破点就是登录(即用户名和密码)
解码xxx:xxx这个形式由3部分构成,所以把爆破构造成三部分
加上flag格式
因为授权 的是base64编码,所以密码也要用base64加密,又因为base64加密后末尾自带一个等号,所以不勾选加密=选项,否则可能造成读取不正确——>最后爆破……………………
basic认证:
1.Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全。
2.basic认证认证过程:HTTP协议定义了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份证的方法,当一个客户端向HTTP服务 器进行数据请求时,如果客户端未被认证,则HTTP服务器将通过基本认证过程对客户端的用户名及密码进行验证,以决定用户是否合法。
客户端在接收到HTTP服务器的身份认证要求后,会提示用户输入用户名及密码,然后将用户名及密码以BASE64加密,加密后的密文将附加于请求信息中,客户端将用户名和密码用冒号合并,并将合并后的字符串用BASE64加密为密文
HTTP服务器在每次收到请求包后,根据协议取得客户端附加的用户信息(BASE64加密的用户名和密码),解开请求包,对用户名及密码进行验证,如果用户名及密码正确,则根据客户端请求,返回客户端所需要的数据;否则,返回错误代码或重新要求客户端提供用户名及密码。
authorization(授权):
实现授权的方式有:cookie、session、token、OAuth
web22:【子域名爆破】
根据题目提示,爆破ctf.show这个子域名
https://phpinfo.me/domain:子域名查询网站
(省略尝试步骤) 点开第一个链接,看到标签上有flag
web23:
ubstr(string string, int a, int b):截取从数字a+1开始,截取b个字符intval()函数:获取变量的整数值
即变量经过md5加密后要满足第2位与第15位相同和第18位相同第2位+第15位+第18位/第2位=第32位 整数值相等所以之后理论就是构造满足上面条件的脚本,运行就可以得出token,网上找了一个,运行出来时3j
web24:
当随机数种子是确定的时候,用mr_rand()得到的随机数也是确定的,取整后得到的数作为变量r传入就好
用get方式传一下参数就可以得到flag
web26:【弱密码】
打开,发现以下界面,先尝试安装
按照提示输入登录信息,点击开始安装没有反应,抓个包看看,发生错误,爆破密码试试
随便导入一个弱密码字典,爆破,查看返回长度最与众不同的返回包,就可以得到flag
web27:【日期爆破】
尝试了再火狐抓包了好几次,都没抓到………………待续
命令执行:
web29:【字符绕过】
1.利用 preg_match(),我们可以完成字符串的规则匹配。preg_match() 函数用于进行正则表达式匹配,成功返回 1(匹配一次,此函数在第一次匹配后将会停止搜索) ,否则返回 0(即没有匹配) 。
2.正则表达式是用来处理字符串的规则
- 只能处理字符串
- 它是一个规则:可以验证字符串是否符合某个规则(test),也可以把字符串中符合规则的内容捕获到(exec/match)
先把flag.php文件复制到1.txt中,再打开1.txt即可打开得到文件里面的内容,因为flag被过滤,所以用?代替flag中一个字母,再打开1.txt文件【不知道什么原因,用cat打开文件就是不行????】
cp 文件1 文件2 (把位于文件1位置的文件复制到文件2中去)
system('ls'):列出目录内文件
| 序号 | 通配符 | 含义 |
| 1 | * | 代表任意数个字符 |
| 2 | ? | 代表任意单个字符 |
| 3 | [abc] | 代表可以匹配 a、b、c 的任意一个 |
| 4 | [a-z] | 代表可以匹配从 a - z 范围内的任意一个 |
web30:【系统命令绕过】
1.PHP提供共了3个专门的执行外部命令的函数:system(),exec(),passthru()
1)不同点:system() 输出并返回最后一行shell结果。
exec() 不输出结果,返回最后一行shell结果,所有结果可以保存到一个返回的数组里面。
passthru() 只调用命令,把命令的运行结果原样地直接输出到标准输出设备上。
2)相同点:都可以获得命令执行的状态码
2.查看文件内容可以使用cat、tac、nl这三个命令
cat:
1.1)cat filename 直接查看文件内容
1.2)cat -n filename 列出行号,空白行也会有行号
1.3)cat filename1.xxx filename2.xxx>filename3.xxx 将filename1和filename2合并为filename3,将多个文件夹合并为一个文件夹
2)tac:tac filename 反向查看文件内容,即“由最后一行到第一行反向在屏幕上显示出来
nl:
3.1)nl filename 除去空白行列出行号打印
用passthru('ls')列出表中所有文件
???用闭合代替system函数——不行;用passthru()代替system函数还是不行;用问号代替flag.php部分或者全部字符都不行
反引号:作用相当于system,但是不会输出任何结果,所以前面要加echo
web31:【空格绕过】
1.PHP print_r方法可以把变量打印显示,使变量易于理解。如果变量是string,integer或float,将打印变量值本身,如果变量是array,将会按照一定格式显示键和元素。
2.scandir()会扫描参数dir指定的目录文件并返回指定目录中的文件和目录的数组。
3.dirname(_FILE_)
php中定义了一个很有用的常数,即:_file_这个内定常数是所在php程序文件的完整路径(路径+文件名)。即使这个文件被其他文件引用(include或require),__file__始终是它所在文件的完整路径,而不是引用它的那个文件完整路径。
4.eg:当前文件在是放在(d:\www\)下,文件名是test.php
<?php
echo __FILE__ ; // 取得当前文件的绝对地址,结果:D:\www\test.php
echo dirname(__FILE__); // 取得当前文件所在的绝对目录,结果:D:\www\
echo dirname(dirname(__FILE__)); //取得当前文件的上一层目录名
?>
5.php里面空格的正则绕过:%09
6.正则表达式:使用单个字符串来描述、匹配一系列符合某个句法规则的字符串。在很多文本编辑器里,正则表达式通常被用来检索、替换那些符合某个模式的文本。
相对于上一题,多过滤了cat sort shell 点号 空格 单引号
web32:
相对上一题,多过滤了反引号,分号,echo,括号!!!
x先让参数1逃逸,将1包含近参数c中
注:写?c=include%0a$_GET[1]?>&1=flag.php不能得到flag,因为flag.php只是包含到变量c中,但是因为没有分号分隔且没有输出flag的变量,造成无法输出变量????,所以用文件包含来做
hackbar里面有一个文件包含插件LFI
执行出来是一行base64编码,解码出来就可以得到flag
363
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
