内网访问
根据题目意思,让我们如访问内网的flag.php
伪协议读取文件
因为网站的目录一般都在/var/www/html/,因此我们直接使用file伪协议访问flag.php就可以了
URL伪协议有如下这些:
- file:///
- dict://
- sftp://
- ldap://
- tftp://
- gopher://
端口扫描
题目提示:来来来性感CTFHub在线扫端口,据说端口范围是8000-9000哦,
所以直接开始构造payload,然后抓包跑包
题目提示了 我们把端口改为8000-9000任意 然后直接bp抓包然后扫就好了
我们要在bp中发送到intruder 攻击模块 选中端口号位置添加payload 然后右上角开始攻击
在payload中类型选择数值类型 将范围改到8000--9000
我们会发现有个长度不一样的
直接访问该端口就OK了
POST
访问flag 进去发现是有个输入框 F12 发现有个key 将其复制到输入框里
然后我们复制完key别着急回车
此处进行代理抓包 打开bp 抓到post的请求
因为要发送一个POST请求。下面的五行是最基本的POST请求,也就是说如果构造POST,至少下面这些的内容一定要有
注意Content-Length那里,必须和原本的POST请求长度一样
然后我们复制 进行一次url编码
编码器地址:http://www.hiencode.com/在线编码解码
对换行的处理。如果你的POST请求编码出来的换行是%0A,就需要把%0A改成%0D%0A:
在结尾多加一个%0D%0A表示结束
再将替换后的内容进行第二次编码后将内容贴到url后面就可以得到对应的flag了
上传文件
这题和POST其实差不多,其实就是上一题POST传递key,这题的POST传递的是文件。
还是url?127.0.0.1/flag.ph,把这个页面大致看一下。
发现有上传文件的地方 但是没有上传文件 的按钮 所以我们F12 然后编辑一下html 手动给他加一个submit 提交框
然后我们上传一个任意本地文件 但是切记不能是空文件 文件里随便写个什么 写个1就行
然后提交 bp抓包 老样子 去给他把没用的删减一下
后续就跟上一题一样 两次编码 更换内容 然后跟到地址后面得到flag
FastCGI协议
准备一句话木马并构造要执行的终端命令:对一句话木马进行base 64编码且写入到名为
shell.php的文件中。
使用Gopherus工具生成payload:
将生成的 链接进行编码处理
将编码后的贴到题中给的后方 给出回显 说明已经成功注入 记得访问运行一下
然后将其地址复制到中国菜刀(图形化界面很方便)进行连接 在其目录里找到flag
Redis协议
Redis相关知识..这题不是用shell反弹而是写文件,然后进行命令执行:
利用以上操作中的工具.. Gopherus 并生成攻击载荷.
将其二次编码
老样子 将其贴到url后面然后访问触发php木马
同上拿shellweb工具进行链接获得flag
URL Bypass
进入环境,尝试访问?url=127.0.0.1/flag.php
,发现Ban ‘/127|172|@/’
因此尝试将ip地址转换为进制的方式进行绕过,127.0.0.1转换为16进制是0x7F000001,这样就可以成功得到flag