qq_40646572的博客

上述内容仅为个人纪录。

首先，正常上传图片文件，竟然因为文件大小的问题，上传失败，就挺难受。不过还好，总算知道是什么原因不能上传。总体来讲，这道题，难度是可以的，需要一步步的进行尝试。

个人感觉，给了源码的题，这个难度基本就是送分题，如果不给源码，感觉难度可以上升一点，首先我们可以使用web目录直接爆破出levell14.php页面，但可以使用refer限制来源，这样我们就可以老老实实的从leveldo4.php页面开始。难度就会上升，比较考验字典了就。（本质上来说，这道题实质就是考察md5的绕过，难度一般）。

这道题结合sql二次注入，ssrf漏洞，伪协议访问，以及最后的符号编码问题，总体来讲难度，中等。尤其是最后的编码问题，？需要二次url编码，空格被过滤，需要使用+进行连接，并且需要+进行编码。

仅一个登陆页面。这是附件中的源码。从上述源码可以看出，username与password被过滤了，并且没有办法进行绕过。username与password字段首先被addslashes()函数进行转义，‘、“、/都会被转义。然后在SQL类中query()函数调用waf()函数进行进一步的拦截。正常来讲，这两个字段不存在sql注入漏洞。但关键点在于cookie，cookie处存在反序列化漏洞。首先可以构造sql类，此处有两种方法可以进行注入，进行登录绕过。一、使用内连接进行绕过。此种方法是官方w

不慌，先扫描下网站目录。发现存在注册登录界面，先注册个账号，登陆进去。打开网站后就是这，题目上提示说存在逻辑漏洞。想到应该是购买礼物时存在逻辑漏洞。修改折扣值，可以成功购买。在主页上发现让我们买到lv6找了很多页，没有找到lv6。使用脚本，进行页面搜索。在181页成功找到。修改折扣值。提示需要admin才可以访问。此处我们可以发现使用的jwt验证。那么下一步使用jwt伪造。失败。那么下一步只能使用jwt爆破。有一说一，我字典不行,我使用crunch生成的字

打开链接地址，发现就一个这，没任何提示。那就web目录先来一波扫描。发现了一个页面，先看下。是个后台登陆界面，大胆猜测存在弱口令？爆破失败。没办法了，先看看网页源码还有网络请求吧。看到这个请求是请求背景图片加载，看着和正常的图片加载感觉不太一样，是不是存在任意文件读取呢？尝试文件读取fuzz，失败。（有一说一，到这我就没思路了。。。。。我是真的菜。）看了官方writeup,发现github搜索了下Zhuanxv，可是我找到git项目的时候啥也没有就一个没用的默认用户和密码。

这是一道，让我头皮发麻的题，前期感觉一般，后面感觉好像搞不定了。。。看了writeup才知道php还能这样用。。题目如上，一眼就可以看出这就是考察php的反序列化，感觉这不so easey？好像还真不是（菜鸡挠头）。首先就是正常的反序列化，在反序列化的时候首先触发__wakeup()函数，迭代args参数中的值进行过滤，解题的关键就是绕过这个过滤。可以看到，

题目如上，既然这道题的名称就是sql，那么就是让我们找到sql注入点。题目下面介绍说是签到题，我信了，然后我人麻了。。。我以为签到题可能就是注入点直接给我们了，然而并不是，这是一道较为复杂的题，起码对我来说是的。这道题包含gopher协议结合ssrf漏洞的sql注入。首先，在页面上有两个输入框，进行尝试了下，发现不是注入点，然后我们看到请求返回包中，存在use.php提示，并且(后面我们发现此处存在一个大坑。)

题目如上，这个题需要绕过很多。。首先考虑参数A的绕过a参数不可以为空，并且intval($a)的值大于6000000，而且长度不能大于3。那有什么好说的，这个intval（）可以用科学计数法进行绕过，直接1e8，对于a参数的拦截已经绕过。下面来看b参数的绕过，关于b参数，要求8b184b与他的substr(md5($b),-6,6)值相等，这个说实话，一开始我想到的是不是可以绕过，但后来发现好像不太行，然后就使用爆破了。

进入给的地址，看到这个源码，首先想到，使用php伪协议进行读取，flag.php文件，直接filename = php://filter/read=convert.base64-encode/resource=flag.php，发现提示个上述图片中的一样，然后使用string.rot13编码，还是无法绕过，正好在查找关于php伪协议的时候，看到一篇关于php://filter以及死亡绕过。尝试下，发现可以。ok,完成。

打开题目网站，发现存在三个文件，都打开看了下，在hint.txt文件中发现提示。在flag.txt文件中也有提示flag在/fllllllllllllag文件中。整理下思路，这道题其实关键点在于hint.txt文件中的cookie_secret值。但考虑到题目名中包含tornado这个关键词，百度下发现这是一个python的web框架，搜索下是否存在可以读取配置文件的漏洞，发现这个框架存在可以读取配置文件的漏洞。想到还有一个welcome.txt文件，上面提示到render，渲染。想到ss..

打开目标网站后，发现提示尝试发现源码，结合题目backupfile，这道题应该需要发现网站的备份文件，通常备份文件一般是，index.php.bak、www.zip、/.bak等。这道题的备份为index.php.bak。源码如图所示，考点在于php的若等于绕过问题。看到key需要时int型整数，并且需要和str变量==相等，由若等于可以知道，当整数值与开头数字且包含字符的字符串时，会强制转换成只保留数字字符的整数型。那么如题，key=123即可。flag已经获取到。参考链接PHP 类..

打开题目，花费金币，心疼ing。打开题目网站，发现一个登陆页面，先来波bp。bp抓包后发现，这个发送的json信息，结合题目给出的fastjson反序列化，应该就是直接在这个参数上传payload了。不慌，先发送下看下回复。咦，好像此处回复有点意思，好像是源码，直接打开这个地址。没错，这个是源码。先打开看下，是否存在有用的信息。编写exp test.javatest.javaimport java.lang.Runtime;import java.lang.Process;.

信息搜集打开目标页面，搜集下可用的信息。在文本框随便输入了点字母，发现提示。打开页面源码，发现了提示，有waf存在。并且发现数据发送到calc.php页面，参数是num。打开calc.php页面发现源码。http://node4.buuoj.cn:28614/calc.php? num=phpinfo()Num参数前加一个空格。为什么要num参数前加一个空格，是因为加一个空格为了绕过waf，在请求传递到waf层的时候，waf会检测num变量，当num前面加一个空格时，目标变量会找.

审题打开链接地址显示如下：点击项目管理链接，转到目标网页发现页面有一个view-source按钮（一开始没发现可以点击，打开源代码的时候发现，这是一个链接地址。）view_source页面代码如下：通过代码审计，发现session会话要有admin用户的信息，才可以进行文件上传的操作。那么首先需要在session会话中获取admin用户的身份，通过下面的代码审计，发现可以利用id这个参数。admin身份绕过首先看到此处的代码，想着能不能使用sql注入的方式绕过，sql注入没能成功.

BUGKU之java反序列化练习