攻防世界WEB
文章平均质量分 51
XCTF
我是大肥鼠
???
展开
-
【攻防世界】十八、mfw
步骤打开所给场景:点击发现一共有三个页面,是靠传递page参数来显示内容查看网页源代码发现还有隐藏的flag页面,但是啥都不显示试着输入其他字符则显示错误页面很可能设置的是白名单,回过头来发现about页面说明使用了git,试着输入.git查看有没有源码泄露确定了有git源码泄露,不知道为啥刷新了一下样式变了使用lijiejie的工具GitHack:https://github.com/lijiejie/GitHack来下载源码注意:代码使用python2写的,记得使用正.原创 2021-10-19 18:22:06 · 759 阅读 · 0 评论 -
【攻防世界】十七、ics-05
步骤打开题目场景,根据提示点击进入设备维护中心(其他页面也点不开)发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数:而且参数的内容还会在页面之中显示,尝试看有没有xss,失败:看来不是这方面的考题,尝试输入index.php,发现返回Ok:这里还没有看出来是啥,然后又尝试输入index.html,这才恍然大悟这块有文件包含:既然是文件包含我们就尝试来利用它,尝试使用伪协议php://,它包含两个子协议,功能不同。.原创 2021-10-12 17:53:38 · 1967 阅读 · 0 评论 -
【攻防世界】十六、shrine
打开所给场景,发现给了一段python代码:整理一下源码进行分析:import flaskimport osapp = flask.Flask(__name__)app.config['FLAG'] = os.environ.pop('FLAG')@app.route('/')def index(): return open(__file__).read()@app.route('/shrine/')def shrine(shrine): def safe_ji.原创 2021-09-24 09:15:53 · 410 阅读 · 0 评论 -
【攻防世界】十五、easytornado
步骤打开所给场景,发现给出了三个文件:依次进行访问:flag.txtwelcome.txthints.txt获得的信息:url是统一的,只有传递的参数在变化,flag在/fllllllllllllag中,也就是filename=/fllllllllllllag,filehash也给出了我们计算方法,render是python中一个渲染函数,渲染变量到模板中,即可以通过传递不同的参数形成不同的页面所以现在我们只有拿到cookie_secret就行了尝试访问(filehash暂时不知道.原创 2021-09-17 18:11:12 · 235 阅读 · 0 评论 -
【攻防世界】十二、Web_python_template_injection
步骤打开所给场景,根据所给提示是python的模板注入尝试一下漏洞是否存在:payload:/{{1+1}}发现{{}}中的表达式被执行,构造命令执行payload:{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}}发现flag,将上述payload中的ls改为cat fl4g即可获得目标:{{''.__class__.__mro__[2].__subcl.原创 2021-09-16 17:36:37 · 1096 阅读 · 0 评论 -
【攻防世界】十一、upload1
步骤打开所给场景,发现可以上传文件,尝试进行上传一句话木马:<?php@eval($_REQUEST['a']);echo "执行成功";?>发现提示只能上传图片,点击确定后发现文件已经选中,但是提交按钮却不能点击:一看就是通过前端js脚本进行校验了,这样就很简单了,两种方法:第一种:简单粗暴,直接进入控制台,点击设置,禁用JavaScript刷新,重新选中一句话木马,发现可以提交上传成功,发现上传的路径已经显示,进行访问在这里卡了好久,我一直尝试进行传入参数.原创 2021-09-15 11:27:52 · 511 阅读 · 0 评论 -
【攻防世界】九、PHP2
步骤打开所给场景,如图:问我能找到网站吗?迷惑,尝试进行目录扫描,发现没什么用。然后尝试在后面随意传参数,页面没什么变化,接着我就想试一下看把后缀改了能不能行,就添加了一个字母s,结果,运气爆棚!直接出源码了,然后我尝试了其他字母,都会报错。接着我就去查了一下,还真是我太菜了!(我看其他师傅直接用御剑扫出了phps文件爆出源码,我这运气算好还是算坏啊…).phps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所.原创 2021-09-14 17:48:00 · 911 阅读 · 0 评论 -
【攻防世界】八、NaNNaNNaNNaN-Batman
步骤下载附件,打开压缩包发现只有一个没有扩展名的文件web100,使用编辑器打开它:发现有乱码,但是通过script标签可以判断这个是js代码,我们将扩展名改为html打开:发现只有一个输入框,输入内容发现也没有用,提交不了接下来分析一下乱码文件,发现最后有eval函数:这个是执行函数,在这里执行了变量_,即''之间的内容,但是它没有执行$()函数,执行字符串所以导致乱码,我们这里使用alert函数替换eval函数将_变量显示出来,得到源码,不进行执行成功拿到源码之后进行分析:func.原创 2021-09-13 15:46:53 · 231 阅读 · 0 评论 -
【攻防世界】七、NewsCenter
步骤打开所给场景:发现一个输入框,试一下有没有sql注入,使用burp进行抓包(不知道什么原因使用hackbar提交数据页面没变化,卡了好久):发现单引号'会出现错误,继续进行注入:1' or 1=1 #发现页面正常,尝试一下联合查询:order by 3/4判断字段数为3,继续注入:payload:1' union select 1,2,3 #发现有回显,联合查询可用!接下来就是按照库表列的顺序依次进行查询:payload:1' union select 1,database.原创 2021-09-13 11:24:17 · 469 阅读 · 0 评论 -
【攻防世界】十、unserialize3
步骤打开所给场景发现给了一段代码,发现有一个类,还有一个疑似get传参的参数code,尝试一下传参:发现可以传入参数,而且类不再显示,并且提醒我们不能传数字,大胆猜想一下想要传递的值为序列化后的字符串ok,我们将xctf类进行序列化:<?phpclass xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); }}echo serialize(new xctf());.原创 2021-09-13 09:44:37 · 429 阅读 · 0 评论 -
【攻防世界】六、warmup
步骤首先打开场景,发现首页只显示了一张打不开的图片:我们使用burp进行抓包,然后查看它返回的响应数据包:发现了线索:source.php访问给出的线索页面,得到了源码:进行源码分析,大致可以看出本题是要用到文件包含,而且白名单里显示出了另一个页面hint.php,访问此页面:得到了flag的线索接下来对源码进行仔细的分析:<?php highlight_file(__FILE__); //__FILE__常量返回文件的完整路径和文件名,高亮显示 cl.原创 2021-09-10 16:40:10 · 1202 阅读 · 4 评论 -
【攻防世界】五、ics-06
步骤打开所给场景发现只有报表中心可以打开,而且会自动重定向到id=1,修改id的值(试了几次)页面好像也没发生变化,这里有点怪异,我们使用burp对id进行爆破首先进行抓包:将抓到的包发送到intruder模块:添加变量设置攻击载荷我这里是写了个python脚本生成了1-10000数字的文件,代码:for i in range(1,10001): f = open('D:/shuzi.txt','a+') f.write(str(i)) f.write('.原创 2021-09-09 18:07:25 · 256 阅读 · 0 评论 -
【攻防世界】十三、Web_php_unserialize
步骤首先打开题目,发现给了一段源码:分析源码,发现类里面有三个魔术方法:__construct():构造函数,对类的变量进行初始化,创建时自动调用,用得到的参数覆盖$file__destruct():销毁时调用,会显示文件的代码,这里要显示fl4g.php__wakeup():在进行反序列化之前会调用,会把$file重置成index.php正则表达式的含义:o或c开头,冒号,一个或多个数字,不区分大小写ok,分析完毕:我们要将序列化后的字符串进行base64加密之后进行get传参到va.原创 2021-09-09 15:38:35 · 202 阅读 · 0 评论 -
【攻防世界】十四、supersqli
步骤先输入1'")提交之后发现报错:根据报错信息我们可以发现是用单引号'来进行闭合的接着使用1' --+发现被过滤:然后使用注释1' #发现可以使用:使用order by语句发现有两个字段,接下来再用联合查询1' and select 1,2 #发现被过滤了:而且绕不过去,既然这样我们尝试一下报错注入:payload:1' and extractvalue(1,concat('^',database(),'^'))#成功拿到库名,但是拿到之后也没有其他方法继续拿数据,这里我们...原创 2021-09-08 18:06:56 · 158 阅读 · 0 评论 -
【攻防世界】四、Web_php_include
步骤打开所给的实验环境,发现给出代码,分析代码可知是文件包含漏洞:其中含有两个参数:hello参数中的内容会被输出到页面page参数中的内容则会被进行文件包含,但是会对php://进行过滤两个函数:strstr(string,search[,before_search]):strstr() 函数搜索字符串(search)在另一字符串(string)中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE。区分大小写,stristr()函数不区分大小写。string:必需。规定.原创 2021-01-20 18:25:35 · 481 阅读 · 0 评论 -
【攻防世界】三、php_rce
步骤打开所给的实验环境:发现版本信息为ThinkPHP V5,我们在GitHub上查找一下这个版本有什么漏洞:发现它有代码执行漏洞:我们打开第一个看一下:由于我们不知道具体的版本,我们就使用5.0.22第一个poc来验证一下:发现页面显示出来了root,猜测可能就是这个版本的,然后使用远程代码执行的payload:发现可以执行成功:然后我们使用find命令来查找flag:查看网页源代码看起来整洁一点:在根目录下发现flag文件,使用cat命令查看文件内容:得到flag.原创 2021-01-20 17:45:48 · 364 阅读 · 0 评论 -
【攻防世界】二、Training-WWW-Robots
步骤我们打开实验环境:发现给出提示让我们去找robots.txt文件,访问这个文件:发现有一个fl0g.php页面,进行访问:得到隐藏的flag!知识点robots.txt等敏感文件造成的信息泄露原创 2021-01-20 17:21:14 · 131 阅读 · 0 评论 -
【攻防世界】一、baby_web
步骤首先我们使用bp进行抓包分析:发现我们访问的页面是1.php页面,根据题目提示让我们找首页,我们修改访问路径为index.php进行访问:在响应头中发现隐藏的flag!考点抓包软件的使用原创 2021-01-20 17:11:29 · 790 阅读 · 0 评论