web遇到的疑难杂症库

最新推荐文章于 2024-04-09 16:33:13 发布
最新推荐文章于 2024-04-09 16:33:13 发布
阅读量209 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40800734/article/details/107029479
版权

0x00

遇到的问题很多当时解决后面又忘了,多次循环后想一想还是记录一下比较好

0x01

一次php中get与post传值的一句话木马问题

源码

先是一个命令执行,老规矩先拿phpinfo()测一下,发现?a=phpinfo();可以而?a=phpinfo()不行

查看文档发现:

(PHP 4, PHP 5, PHP 7)

eval — 把字符串作为PHP代码执行

除此之外,传入的必须是有效的 PHP 代码。所有的语句必须以分号结尾。比如 'echo "Hi!"' 会导致一个 parse error,而 'echo "Hi!";' 则会正常运行。

但是一句话木马

<?php @eval($_POST[value]); ?>

eval()里也没有;号啊????

测试后发现:当eval()里直接执行php语句时是不用加;号的,但如果先接受$_get传进来的字符串再执行时,那么该$_get传进来的值是要加;号的

然后后面又出问题了

当传入?a=$_POST[%27attack%27];时  按理说服务器应该为   eval("$_POST['attack'];");

后 eval($_POST['attack']);  这样应该就可以用蚁剑连了

但是

哦豁失败了

但传入?a=eval($_POST['attack']);时 服务器端为 eval("eval($_POST['attack']);");

即eval(eval($_POST['attack']));却可以

再试试多重eval即?a=eval(eval(eval($_POST[%27attack%27]))); 发现也可以

后来通过某个师傅问了另一个师傅,说是eval是语言构造器 动态调用会undefined

 

暂时还不明白为什么第一个传参失败

以后遇到这种情况多搞点eval就完事,特别时做题时多嵌套一个eval也方便看清自己的payload逻辑

0x02

待记录......

 

qq_40800734
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
buuctf pasecactf_2019]flask_ssti
qq_40800734的博客
06-29 2443
1.测试存在ssti 2.获取类型所属的对象,后面显示被过滤了,看了大佬的文章_'.这三个被过滤了,但可以用十六进制绕过 3.寻找基类 4.寻找可用引用 {{()["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fbases\x5f\x5f"][0]["\x5f\x5fsubclasses\x5f\x5f"]()}} 5.接下来就是开始一系列利用了(基础不是很好,后面的待填坑)一些大佬的方法: 自己的一些总结:使用[]好像可以自动补.号 以下是等价的
DEDECMS最新友情链接getshell漏洞分析
weixin_30815427的博客
03-25 545
先上exp: <?php //print_r($_SERVER); $referer=$_SERVER['HTTP_REFERER']; $dede_login=str_replace("friendlink_main.php","",$referer);//去掉friendlink_main.php,取得dede后台的路径 //拼接exp $muma='<'...
Linux的/proc/self/学习
cjdgg的博客
08-23 7636
Linux的/proc/self/学习 最近做的[SWPU2019]Web3和[pasecactf_2019]flask_ssti好像都涉及到了/proc这个目录,所以找篇文章来学习下,看了这篇文章才发现作者是搬运之前我就关注的一个大佬WHOAMI的文章,之前复现漏洞看的就是大佬的文章,这会回去看才发现大佬的博客好像关了,这也让我下定决心要把自己所学的东西记录下来,就算是搬运也要自己记录下来,一昧的收藏文章哪天大佬们把博客关了那就真的GG了。话不多说进入正题 /proc目录 Linux 内核提供了一种通过
[pasecactf_2019]tornado_casino
m0_57291352的博客
08-29 640
[pasecactf_2019]tornado_casino 题目 from sys import argv from random import getrandbits flag = '<redacted>' tornado_banner = ''' 88 ,d
刷题(第二周)
qq_62046696的博客
03-06 535
感悟:代码审计的题的确非常需要耐心一个个看,所以做题应该静下心来,思路:找出可以利用的方法比如,include/file_get_contents等,然后找出__destruct起点一步步观察。这里的this->pool是我们可以控制的,所以找出一个恶意类中的 saveDeferred方法即可,最终找到了PhpArrayAdapter.php中的方法,这里虽然报错了,但还是返回了1/0我们输入的值,因为flask框架是基于python语言的,所以师傅们用的方法是#注释掉后面的,
BUUCTF [PASECA2019] honey_shop
Senimo
12-21 1529
BUUCTF [PASECA2019] honey_shop 考点: Flask中的Session伪造 /environ记录当前进程的环境变量信息 /proc/self其路径指向当前进程 启动环境: 是一个蜂蜜商店的界面,有1366美金,想要购买flag需要1337美金: 直接购买提示金额不足: 猜测可能是传参时存在金额参数或者cookie中,使用BurpSuite抓取数据包: 其中item应该为商品序号,获取到其中的session: session=eyJiYWxhbmNlIjoxMzM2LC
buuctf [pasecactf_2019]flask_ssti
CyhDl666的博客
03-18 1228
题目已经告诉是SSTI模板注入了 测试一下 做题时用""发现了过滤 fuzz一下 过滤了很多东西 想到去年打校赛自己未解出来的一题 结合题目提示 是个16进制转换 附上自己写的python脚本 code = "/proc/self/fd/1" ssti = "" length = len(code) for i in range(length): ssti += "\\x" + hex(ord(code[i]))[2:] print(ssti) 将下面内容转化为16进制 __class__.
BUUCTF--[pasecactf_2019]flask_ssti
qq_46263951的博客
08-12 539
根据题目我们可以知道这是一道Flask SSTI的题。 打开后允许我们输入东西,会返回用奇怪字符包裹的昵称。 我们试一下{{2*2}},然后返回4。这里存在这SSTI。 这里过滤了很多东西,就不在一一测试,使用十六进制进行绕过. #转16进制py脚本 code = "/proc/self/fd/1" ssti = "" length = len(code) for i in range(length): ssti += "\\x" + hex(ord(code[i]))[2:] print(
BUUCTF刷题十一道(12)SSTI专题一
qq_45837896的博客
04-09 715
SSTI填坑
[pasecactf_2019]flask_ssti
cjdgg的博客
07-05 2375
[pasecactf_2019]flask_ssti 进入题目后如下图所示 因为题目本身就提示ssti了,我也就直接尝试有没有过滤了 这里过滤了下划线,使用十六进制编码绕过,_编码后为\x5f, .过滤的话我们直接用[]包含绕过 这里过滤了单引号,我们用双引号绕过 这题过滤已经找完了,接下来是构造 相当于执行{{class}} 相当于执行{{class.bases[0]}} 相当于执行{{class.bases[0].subclasses()}} 下面贴一个脚本用来找可用类 import js
pasecactf_2019_web_honey_shop
05-04
PASECA2019_Web_honey_shop 题目详情 PASECA CTF 2019 Web honey_shop Difficulty: Easy 考点 LFI Flask Cookie伪造 启动 docker-compose up -d open 题目说明 Flag位于app/flag.txt,Docker中位于/app/flag.txt。 每次启动镜像时都会随机生成Flask Cookie的SECRET_KEY。 版权 该题目复现环境尚未取得主办方及出题人相关授权,如果侵权,请联系本人删除()
flask ssti 的一些黑名单绕过姿势
qq_40800734的博客
06-29 2838
转自https://p0sec.net/index.php/archives/120/ 最近学flask的ssti,看到一些比较好的文章,分享并记录学习一下 0x00 获取基本类 首先通过str、dict、tuple或list获取python的基本类(当然也可以利用一些其他在jinja2中存在的对象,比如request): ''.__class__.__mro__[2] {}.__class__.__bases__[0] ().__class__.__bases__[0] [].__clas.
BUU__Web 分类练习文档
风过江南乱的博客
08-18 972
前言 这是赵总总结分类的,我只是搬一下,保存一下,原链接 赵总博客 分类 1、代码审计以及反序列化 https://buuoj.cn/challenges#BUU%20CODE%20REVIEW%201 https://buuoj.cn/challenges#[HCTF%202018]WarmUp https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]PHP https://buuoj.cn/
CTF模板注入
weixin_43952190的博客
07-30 4200
模板注入赛题 1. [护网杯 2018]easy_tornado 进入后三个链接 /flag.txt # flag in /fllllllllllllag /welcome.txt #提示render(渲染) /hint.txt #提示md5(cookie_secret+md5(filename)) url上两个参数:filename&filehash 根据提示,要查看flag,已经知道了文件名,filehash也知道了构
RootersCTF2019 I ♥ Flask
汗的博客
08-29 483
知识点 url参数爆破、ssti 信息收集 看了别人的wp,才知道http参数这方面的信息收集 这里使用arjun,当然也可以万能的burpsuite python3 arjun.py -u http:xxxxxxxxxxx.buuoj.cn/ --get 得到参数name 改成/?name={{3*3}} 利用和get flag 获取当前目录下文件列表 xxxxx.cn/?name={{config.__class__.__init__.__globals__['os'].popen('ls').
基于Matlab的模糊PID控制系统设计及仿真.pdf
08-05
基于Matlab的模糊PID控制系统设计及仿真
黑马头条,黑马头条,黑马头条
08-05
黑马头条,黑马头条,黑马头条
基于ppo算法的计算卸载策略研究python
08-05
ppo算法 基于ppo算法的计算卸载策略研究 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
SQLTools插件下载与使用说明
最新发布
08-05
1
Java核心技术深度解析:疑难杂症与深入理解
Java 疑难杂症笔记涵盖了Java编程中的诸多关键知识点,包括Jdk、Jre、Jvm的区别以及它们在Java开发过程中的作用。Jdk(Java Development Kit)是开发工具包,包含了编译器和标准,用于编写Java源代码;Jre(Java ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值