攻防世界-web进阶区

最新推荐文章于 2024-04-02 01:49:02 发布
最新推荐文章于 2024-04-02 01:49:02 发布
阅读量810 收藏 3
点赞数 1
分类专栏: CTF_攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45890174/article/details/109103820
版权

目录

baby_web

题目描述:想想初始页面是哪个
打开链接看到这个界面
在这里插入图片描述
这里有两种解法
法一:我们输入index.php ,就会立即跳转到1.php
那我们就对index.php抓包看看
在这里插入图片描述
在请求头看到flag:flag{very_baby_web}

法二:题目提示说初始界面,但是url后面会自动跳转到1.php,我们可以在控制台找到初始界面, 按F12进入控制台点开原始的网址就可以看到
在这里插入图片描述

Training-WWW-Robots

打开链接是这样一个页面
在这里插入图片描述
题目提示了robots,我们就看看robots协议是什么东西
在这里插入图片描述
学过python爬虫一定都知道,简单的来说他就是 网站声明 哪些文件是不允许 爬取的 声明文件,至于别人是否遵守这个 协议,它无法限制
所以我们访问一下http://220.249.52.133:47824/robots.txt
在这里插入图片描述
然后再访问一下http://220.249.52.133:47824/fl0g.php
在这里插入图片描述
最后拿到flag:cyberpeace{903178f76966037c8b7e9ac18980dcdb}

ics-06

打开链接是一个网站
在这里插入图片描述
点了所有的目录,发现只有报表中心可以点进去
在这里插入图片描述
但是在这个页面不管点什么都没有反应,同时我们注意到上面有个id=1的字眼,后来看了wp发现这是一个id爆破,真是想不到啊,那就爆破一下吧
在这里插入图片描述
在这里插入图片描述
然后intruder开始爆破,最后爆破出来id=2333
可以在bp里面的页面看到flag,也可以在网页上看到flag
在这里插入图片描述
在这里插入图片描述
得到flag: cyberpeace{06e924d21053a5a783468bd3fb3bc67a}

Web_php_unserialize

知识点:weakup()绕过,正则表达式绕过
源码:

<?php 
class Demo {
    
    private $file = 'index.php';
    public function __construct($file) {
    
        $this->file = $file; 
    }
    function __destruct() {
    
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() {
    
        if ($this->file != 'index.php') {
    
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) {
    
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) {
    
        die('stop hacking!'); 
    } else {
   
        @unserialize($var); 
    } 
} else {
    
    highlight_file("index.php"); 
} 
?>

我们先对源码解读一下:
首先有一个Demo类,一个私有类型变量$file的值为’index.php’;
"__construct()"函数:这个函数是类创建对象(new)的时候会自动调用
destruct() (两个下划线就不写了,csdn四个下划线负责加粗字体),这个函数是对象被回收的时候调用
wakeup() 函数是反序列化时被自动调用的函数
下一段代码是get方式接收了一个var变量,首先对var进行base64解码,再去用正则匹配字符或字符串,“[oc]”匹配的是两个字母,\d是匹配整形数字,/i是不区分大小写,中间用冒号连接,主要是为了过滤反序列化字符串的前几位,这是需要绕过的

我们要得到fl4g.php就必须绕过三个东西:
1绕过wake up 函数
__wakeup()
是在反序列化操作中起作用的魔法函数,当unserialize的时候,会检查时候存在__wakeup()函数,如果存在的话,会优先调用__wakeup()函数。

绕过:

__wakeup()函数漏洞就是与对象的属性个数有关,如果序列化后的字符串中表示属性个数的数字与真实属性个数一致,那么i就调用__wakeup()函数,如果该数字大于真实属性个数,就会绕过__wakeup()函数。

2 绕过正则表达式

(preg_match(’/[oc]:\d+:/i’, $var))
而正则匹配的规则是: 在不区分大小写的情况下 , 若字符串出现 “o:数字” 或者 "c:数字’ 这样的格式 , 那么就被过滤 .很明显 , 因为 serialize() 的参数为 object ,因此参数类型肯定为对象 " O " , 又因为序列化字符串的格式为 参数格式:参数名长度 , 因此 " O:4 " 这样的字符串肯定无法通过正则匹配
绕过
而O:+4没被过滤说明绕过了过滤而且最后的值不变。

3 必须是base64加密
直接对序列化的内容进行加密

这里写一个php脚本跑一下

<?php 
class Demo {
    
    private $file = 'index.php';
    public function __construct($file) {
最低0.47元/天 解锁文章
Dy1n9
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】一文带你了解SSTI漏洞 + Web_python_template_injection解题详析
等风来
05-28 5297
2.命令执行注入:攻击者在应用程序中的命令执行语句中注入模板代码,从而执行任意系统命令,获取系统权限,对系统行攻击等。3.变量渲染注入:攻击者在应用程序中的变量渲染语句中注入模板代码,从而影响页面的输出,导致代码执行或信息泄漏等问题。在 Python 3 中,当对一个未导入的模块(如 os 模块)执行 eval() 函数时,linecache 模块会发出一个警告,可利用这个警告来读取敏感信息。1.条件语句注入:攻击者在应用程序中的条件语句中注入模板代码,从而控制条件判断的分支,导致程序的逻辑错误。
ssti
2h4ox1n9
05-23 856
[第三章 web]SSTI {{"".__class__.__bases__[0].__subclasses__()}} 执行结果中找到 os命令执行类<class 'os._wrap_close'>从头开始复制到os那里,粘贴到word文档里搜索个128结果,下标127 {{"".__class__.__bases__[0].__subclasses__()[127].__init__.__globals__['popen']('ls').read()}} 列目录 ...
攻防世界web高手 Web_php_unserialize
weixin_61835841的博客
04-20 932
有错请各位大佬指正 文章目录 工具 分析 操作 工具 1.火狐 2.phpstudy 分析 本题主要考察的知识点: 1.__construct():当对象创建(new)时会自动调用。将传入的 $file 赋值给本地的私有方法 $file 2.unserialize() 时是不会自动调用的。(构造函数) 3.__destruct():当对象被销毁时会自动调用。(析构函数) 4.__wakeup():unserialize() 时.
攻防世界-unserialize3_魔术函数,以及wakeup()函数的绕过
Fisher
05-15 1357
拿到题目得到一段代码: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 根据提提示是序列化,将xctf类行序列化,之后如果执行__wakeup()则会跳出, 所以需要构造函数绕过 __wakeup() 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作 所以是将序列化的值反序列化之后执行,因此我们构造序列化的值 先将类行序列化: <?php
安恒的一次月赛
yyx的博客
04-29 586
easy-安恒12月月赛 打开页面出现代码,unserialize,需要反序列化,正则筛选值preg_match('/[oc]:\d+:/i',$data,$matches);发现过滤了O:4这类值,用O:+4可以过滤. 正常反序列化 O:4:“baby”:1:{s:4:“file”;s:8:“flag.php”;}会被过滤 所以用O:+4:“baby”:1:{s:4:“file”;s:8:“fl...
攻防世界—-(web)FlatScience–WP
12-14
打开题目: 发现都是pdf文件。看不懂 先来一套广播体操:我用的是御剑和AWVS 发现两个有趣的页面: ...(还有一个robots.txt, 打开之后也是指向上面两个页面的) ... 查看页面源代码 有提示,就先暂时先不考虑弱口令 ...
web-hacking-101
04-25
本教程将带你走这个神秘的世界,通过深入浅出的方式讲解Web黑客的基础技能。 首先,你会学习HTTP协议的基础知识,这是所有Web通信的基础。了解HTTP请求方法(如GET、POST、PUT等)以及HTTP头信息如何影响数据传输...
西普WEB大部分题解
12-09
【标题】"西普WEB大部分题解"是一个针对网络安全领域中的Web安全训练平台——西普(CTF)的解题指南。这个资源包含了对西普平台上多种Web安全挑战的解答,旨在帮助那些参与CTF(Capture The Flag)比赛或者希望提升...
课程1-网络攻防技术概述与课程简介1
08-03
课程简介-主要内容(2)四、网络攻防技术10. 程序安全攻防:缓冲溢出和Shellcode11. Web应用安全攻防12. 浏览器安全攻防13. 无线网络
sqli-labs.zip
12-31
8. **网络攻防**:了解SQL注入在现实世界中的应用场景,例如数据盗窃、网站破坏等,以及如何制定防御策略。 总的来说,"sqli-labs.zip"是一个全面的SQL注入学习资源,不仅适合希望增强自己网络安全技能的个人,也...
基于CHtmlView类的Web浏览器代码
04-27
这是比较简单的一个WEB浏览器设计,在VC++ 6.0环境下编译出的,可以实现最基本的WEB操作。
[第三章 web ] SSTI——WP
最新发布
weixin_54227009的博客
04-02 237
注:基类的子列表[127]为os(这台靶场上的python环境是127,每个python版本不一样,好比python3.9貌似没os了)4、测试是否存在模板注入url?password={{2*2}}2、入网页发现password is wrong。3、猜测password为参数。查看当前目录下有那些文件。1、题目提示为SSTI。
008_python内置语法
weixin_30527143的博客
08-28 107
一、 参考:http://www.runoob.com/python/python-built-in-functions.html (1)vars() 描述 vars()函数返回对象object的属性和属性值的字典对象。 语法 vars() 函数语法: vars([object]) 参数 object -- 对象 返回值 返回对象object的属性和属性值的字典对象...
攻防世界-WEB-bug
qq_64966153的博客
07-04 1084
攻防世界 bug靶场
攻防世界 web1
weixin_63231007的博客
03-30 212
003PHP2 通过index.phps查看源码得知: 代码审计得知,我们需要将传递的id,经过浏览器自动url解码,与urldecode()函数两次解码后等于admin,才可得到flag。使用burp_suite decoder模块 得知%25%36%31%25%36%34%25%36%64%25%36%39%25%36%65两次url解码后为admin。将其传入id,得到flag。 004 Web_php_unserialize 首先看到源码,出现敏感函数wakeup,考虑绕过反序列化
攻防世界webZhuanxv详解
hxhxhxhxx的博客
08-13 1462
攻防世界webZhuanxv详解题目提示:详解 题目 提示: 详解 扫描目录发现了一个list 我们使用了好几个扫描工具,只有wwwscan,和webdirscan可以,(可能是我字典太菜了) 发现需要登录 查看源代码发现,这里有问题,加载图片的方式很诡异 试试文件读取 他的cookie里有jessionid 说明他是使用JAVA写的网页 那么我们尝试找找web.xml strust ...
攻防世界-web-高手-mfw
wyj_1216 House
07-09 3328
题目 writeup 查看页面源代码 发现: ?page=flag 于是尝试一下 发现可访问,但是没东西 于是尝试看看其他地方 发现About页面 看到了Git 怀疑是git泄露 于是利用dirsearch扫一下 发现了/.git/ 访问 利用GitHack下载源码 得到一个以url命名的文件夹 打开发现了flag.php 但是啥都没有 再看index.php 即 <?ph...
攻防世界web高手 Web_php_include
weixin_61835841的博客
04-25 1968
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 工具 火狐,burpsuite 分析 代码审计: strstr():分大小写 str_replace:替换函数 补充: 函数原型:mixed str_replace ( mixed $search , mixed $replace , mixed $subject [, int &$count ] )参数说明:$search要被搜索替换的字符串,$replace要替换搜索的字符串,$subject操作...
攻防世界-baby_web详解
12-21
根据提供的引用内容,攻防世界-baby_web是一个需要行攻击和防御的网络应用。根据引用和引用[2]的描述,可以看出该应用存在注入漏洞,并且使用了一些安全措施来防止攻击者利用这些漏洞。攻击者可以通过注入恶意代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值