wangzhemvp的博客

本次实验我们将使用msfpc生成windows下的被控端，并使用metasploit渗透工具进行远程控制。

nikto扫描 nikto -h urlPUT请求，如果不存在这个路径下的文件，将会创建，如果存在，会执行覆盖操作。

spring漏洞pyload:1.发现git2.工具得到.git文件addslashes函数：在预定义的字符前面加上反斜杠%1$的作用就是防止 ' 被过滤掉输入?在Cookie里发现file，，为flag.txt把Cookie中的file赋值为，注这里抓包是响应页面的包。

usr/share/doc/dhcp*/dhcpd.conf.example //官方例子。# cat dhcpd.conf //dhcpd.conf 主配置文件。# rpm -qc dhcp // 检查是否安装dhcp。3.1 把客户端改的BOOTPROTO该为dhcp，把最后两行去掉。区域指定dhcp服务器ip地址（区域大于全局）到客户端看MAC地址，或者拿过租约的服务端会有记录（最后一行）} 用于固定地址（公司的打印机）第一行：全局dhcp服务器地址。

访问phpinfo.php，ctrl+f 搜索 flag，找到 flag。一开始想到是sql注入，但是不行。

把a的地址赋给b，因为在__destruct()中有echo，可以输出文件内容。

正常序列化出来是O:4:"test":3:{s:1:"a";preg_match('/test":3/i',$a)) 序列化里面要有 "test":3 ，但又要绕过__wakeup()，这显然冲突了。把a的地址给到b，然后在把正确的内容给到c，因为$this->b=$this->c。改不了变量属性，$a肯定会被' '覆盖，那怎么办呢？

第一种：可以把new放到__construct()，对源代码没什么影响，因为在源码中反序列化时，没有用到__construct()。第二种：把private改成public，把序列化的结果加上%00index%00test。2.对于在序列化时没有用到的类，应该可以先不用看。但要在反序列化时看有什么用。1.对于私有属性如何赋值。pop链小例子，源码。

作为链尾，则要触发 append($value) -->>__invoke()，看到$function()。使 $this->string 为 Make_a_Change 的一个对象，则这个对象的类里面没有page这个变量，则会触发__get()。第二步：$function() ，则要触发 __get($key)，看到 $this->string->page。第四步：preg_match，则要触发 __wakeup()，而原文中有 unserialize()，不用管。3.对于第三步和第四步要分开赋值。

一、理清pop链并进行标注二、如何编写相关脚本三、过滤与绕过1、waf的绕过2、preg_match的绕过_[nisactf 2022]babyserialize。[NISACTF 2022]babyserialize（pop链构造与脚本编写详细教学）-CSDN博客。

只是一个变量，不能存类，要用数组来构造。true、0与字符串比较为真。1.构造不能用类，因为。

所以$p->w00m = new w33m();则不会触发__toString()。对于__toString()，要是在它的类里的变量被实例化。4.一般类里的函数可以直接去掉，简化代码（方便看）。1.有私有属性的一定要url编码一下，会有不可见字符。3.对于pop链，从链尾分析到链头。

上面的源码有echo $password，会触发__toString()。2. include($file)文件包含。1.变量如何变成文件输出。

后端代码对文件类型 Content-type 有限制。但文件后缀为.jpg，蚁剑不能连接。：解析.jpg文件中的php代码 ，内容为。传.htaccess文件失败，后发现。且后缀不能有 php。.htaccess文件。

(path,*paths)函数用于将多个文件路径连接成一个组合的路径。第一个函数通常包含了基础路径，而之后的每个参数被当作组件拼接到基础路径之后。就是说传/flag，那么之前的upload/就会删除，就直接读取了根目录下的flag文件。抓包将文件名改为/flag。如果拼接的某个路径以 / 开头，那么包括基础路径在内的所有前缀路径都将被删除，该路径将视为绝对路径。然而，这个函数有一个少有人知的特性，，使得输出的文件只能是在目录。，且文件名前会拼接一个前缀。上传的文件不能有后缀。

要绕过wakeup函数，只要序列化的中的成员数大于实际成员数。

所以我们可以通过构造一个恶意的序列化对象，将自定义的函数传递给 $lt 属性，然后将要执行的代码（或者指向一个恶意代码文件的路径）传递给 $lly 属性。当对象被序列化后再被反序列化时，__destruct 方法会被自动调用，从而执行指定的恶意操作。由题目可知，实现nss反序列化的同时，会触发__destruct()的魔术方法将lt的值赋给a，然后调用a中存储的函数，并将lly属性的值作为参数传递给该函数。只要传参把a变成system();，this->lly变成ls或者cat就是一个简单的命令注入了。

1.知道一个表flag，表中有字段flag---》可以直接跳到查数据那一步啊2.输入--+、#、'、"等都不行---》用fuzz测试查看过滤了那些。

information_schema.tables 或 .columns 用反引号 information_schema.过滤了information_schema.tables、information_schema.column、空格。在switch中，case 里如果没有 break，则会继续向下执行 case。从数据库中查看文件内容，mysql提供了。的函数 load_file()

handler 不是通用的SQL语句，是Mysql特有的。查看数据： HANDLER 表名 READ next;关闭表： HANDLER 表名 READ CLOSE;打开表：HANDLER 表名 OPEN;