leekos的博客，分享web安全相关知识~

Apache HTTP Server 存在路径遍历漏洞，该漏洞源于发现 Apache HTTP Server 2.4.50 版本中对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护，则这些请求可能会成功。的指定端口发送信息，所以我们可以伪造一个post数据包，去探测80端口。可以任意文件写入，但是需要绕过waf，这里重点是。，这个版本有一个rce漏洞。

会被替换为空，所以最终文件名就符合session文件的格式了，session文件名可控。目录下面，所以我们可以尝试session伪造一下，伪造一个session文件。如果我们能够控制session文件，就可以拿到flag了。登录之后有几个功能点，可以添加节点，然后使用。我们发现想要拿到flag的条件时。这里可以看到，导出的文件也是写到。会生成16进制字符串，

如果我们要调用C标准库里面的system函数（先不考虑PHP自己实现了system函数），我们就使用cdef去加载，cdef会把存放system函数功能的动态链接库libc加载到内存里面，这样PHP的进程空间里就有了这个system，这也是disable_functions里面过滤了system函数，但是结果的payload里面仍然还使用了system的原因，因为我们是。所以此处的思想就是使用PHP代码来调用c代码的方式，先声明c中的命令执行函数，然后通过FFI变量调用该c函数即可bypass。

复现完这题学到了很多关于内网中代理等知识，学到了venom工具构造socks5代理，使用proxifier的方式打开工具，有点像给系统加了一个代理。

如果我们传递一个sql进入XFF中，然后第二次随便输入一个值，将sql存入数据库，第三次再输入同一个值，就会发生sql查询，将之前的sql语句查询出来，造成。就是将字符串转为16进制，再转为10进制，读出来，最后重新将10进制转为16进制，最后转为字符串，利用的就是。首先通过sql查询，将部分结果拿出，然后转为16进制，再转为10进制。这个函数是将16进制数字转为字节，然后decode()解码为字符。这个脚本非常的巧妙，与我之前接触的脚本不同，这个脚本可以通过。的返回结果取出，转为16进制，最后转为字符。

这题太烦了。

隐写，使用github的脚本：https://github.com/AngelKitty/stegosaurus。有密码了并且还有一张照片，我们就会想到一些需要密码的隐写了：steghide、outguess等。

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ST1jvadM-1691302941344)(https://raw.githubusercontent.com/leekosss/photoBed/master/202308032140269.png)]我们可以控制文件名的参数，并且获取文件名的文件内容。就会将phar反序列化，获得flag。随便上传一个文件，获取token。难点主要是需要绕过：token。开始以为是sql注入。

提示我们需要上传文件，并且flag在根目录下，但是上传上去发现被过滤了，我们需要想办法绕过。编码，所以我们可以把文件转为。很明显使用xxe注入。

的话，当helper对象会序列化就会读取flag的内容，并且输出，这是利用点。如图成功转为字符串，所以我们插入16进制就会转为字符串插入到数据库，这样取出来就可以成功反序列化啦。经过序列化后的值，所以我们需要构造一下，将该值替换为恶意构造的序列化串。在这个函数中会执行sql语句，将输入插入到字符串，但是这里存在。默认的值是图片的宽高数组序列化后的值，没法控制输入。在upload()函数中，会将相关信息保存在。我们需要构造一个特定值序列化后的串，然后经过。属性的值先替换一下然后反序列化，这个属性就是。

从一道题分析通过session反序列化出发SoapClientSSRF利用CRLF解题这一个题目的综合性还是挺强的，感觉挺巧妙，用到了session反序列化，php内置类SSRF+CRLF的技巧。

简单的说，就是通过查询多个大的表，导致产生笛卡尔积，造成查询数量多，所以会产生延时的效果。没写出这题的原因，以为只能通过逃逸改变属性值，结果可以反序列化对象里的对象。都被过滤了，我们怎么才能够一边查询多表导致笛卡尔积，一边进行盲注呢？等等，普通的延时注入肯定不行，关键词都被ban了。对象的序列化字符串，由于对象成员变量的权限是。序列化后字符串的形式了，接下来我们只需要闭合。，这个是8进制的写法，然后编码之后就能转为。的字符，该字符不可见（也算作一个字符）可以重复14次，就逃逸出28个字符了，

2023DASCTF7月赛

本质上，fast destruct 是因为unserialize过程中扫描器发现序列化字符串格式有误导致的提前异常退出，为了销毁之前建立的对象内存空间，会立刻调用对象的。突破点在dark类的getFlag方法，里面有个include可以文件包含，可以使用php伪协议绕过hacked函数。直接使用反射即可，注意：由于属性是private，所以我们需要。因为这里抛出了一个异常，导致destruct方法没有被触发，试了一下，发现 小数点 / 等东西都被过滤了，可以使用。提示我们需要使用这些方法，结合。

某安全部门发现某涉密工厂生产人员偷偷通过生产网络传输数据给不明人员，通过技术手段截获出一段通讯流量，但是其中的关键信息被进行了加密，请你根据流量包的内容，找出被加密的信息。（得到的字符串需要以flag{xxx}形式提交）

目录的话，我们就可以通过该文件直接访问网站的目录了，然后我们将。刚好解压到网站的访问目录，此时我们可以直接使用蚁剑连接了。然后使用zip命令将其压缩为：zip.zip。上传，发现shell.php成功上传到。重点来了，由于之前我们上传了一个软链接。所以会恰好将shell.php解压到。上传成功，然后就可以getshell了。软连接的作用类似于win下的快捷方式。可知，需要使用linux中的。shell.php为一句话木马。首先使用命令创建软链接：web。，上传上去，这样就会在。假如我们使用软链接生成。

sql注入题目，username必须为admin，此处我们需要从密码着手。乍一看好像是一样的，但是单双引号有点区别，我们需要再套。发现很多 0、1的二进制数据，我们把它提取出来放到。于是我们写个脚本将这些16进制的转化为普通的文本文件。我们除了让输入的密码与真正的密码一致外，还可以让。实际上此处为一张空表，我们需要使用另一种做法(其实这里的密码是字母（以前一般都是数字），使用。得到一个wav音频和一张绿色的图片，我们使用。写这种编码转化的脚本不是很会，需要多学一学。

但是仍然要注意，如果文件在加密前经过了压缩，加密算法的输入不再是我们所知道的明文而是压缩后的数据，明文攻击会失败（在压缩包里查看文件的属性可以看到压缩方式，比如“ZipCrypto Deflate”就是加密压缩，“ZipCrypto Store”就是加密储存）。比如压缩包里有一个常见的 license 文件，或者是某个常用的 dll 库，或者是带有固定头部的文件（比如 xml、exe、png 等容易推导出原始内容的文件），那么就可以运用这种攻击。于是我们得到了压缩包中的一段明文，我们需要使用工具。

当用户输入某一网址如 www.baidu.com，网络上的 DNS Server 会将该域名解析，并找到对应的真实 IP 如 127.0.0.1，使用户可以访问这台服务器上相应的服务。DNSlog 就是存储在 DNS Server 上的域名信息，它记录着用户对域名 www.baidu.com 等的访问信息，类似日志文件。将图片使用foremost分离，得到一个压缩包，里面有一个wav文件，我们使用。，看图标，很想使用python打包的exe文件，一个登录界面，sql注入无果，使用。

ctfshow【菜狗杯】misc

[BJDCTF2020]EzPHP

【黄河流域公安院校网络空间安全技能挑战赛】部分wp

ctfshow【菜狗杯】wp