文章目录
基础真题实训一
1、SQL注入
(1)真题一:有注入点地址,过滤了-- 与#注释
解题思路:
第一步:分析题干
(1)发现参数是用''来闭合
(2)发现过滤代码,想办法绕过
思路一:不用--与#注释符,来进行绕过
思路二:用--与#注释符,来进行绕过,-#-的方式,使用order by (在get请求中#需要编码成%23,空格编码成%20)
解题步骤:
先使用sqlmap扫,不行在进行手工。
1、使用'先闭合
2、使用order by 数字,来查询列数
3、发现还有个引号需要闭合,order by 后面只能接数字
4、想到union select 联合查询可以使用'来闭合,更改成这个方法直接找回显,一个个试,uuid=-1' union select '1,'2,
5、发现回显点2和3后,可以进行查询了。顺序是库、表、列、数据
6、先查询database(),发现数据库为2web
7、使用火狐自带插件查询表2web,发现有两个,一个是Article,一个是IS_KEY这个表就是所需要的
8、继续使用插件查询列IS_KEY,发现有个haha的列
9、最后查询数据data,发现key
2、文件上传
(1)真题一:过滤了eval
解题思路:
上传两个文件:一个普通文件,一个合成的shell的图片马,抓包分析上传成功,与上传失败的区别
合成方式:copy /b pic.jpg + shell.php picshell.php
发现校验两种情况,一种是后缀名,一种是过滤图片中的内容,例如:图片中的php马,
注意:二次渲染是上传成功的状态,将图片的shell马渲染掉,将渲染后的文件存储到服务器上
解题步骤:
1、将上传失败的包,发送到重放器中,去一个个删除php马,先将post的删除,看一下是不是过滤掉了post
2、发现上传失败,在尝试删除eval,看一下是不是过滤掉了eval
3、发现上传成功,证明过滤掉了eval,因此想办法绕过eval
4、已知php代码中,函数不区分大小写,变量区分大小写,所以可以试试大小写形式绕过Eval,发现成功
5、重新将php马补齐上传成功,此时文件类型时JPG,需改一下后缀,再次上传
6、在Response的raw中找到上传的路径
7、去文件上传页面拼接路径即可,使用菜刀或蚁剑连接即可
8、找到了key.php,拿到key
3、文件包含
(1)真题一:过滤了data
解题思路:
分析页面,发现文件包含个.txt文件,说明输入的后面都要加上.txt
可以使用data协议、远程包含的方法、zip(这里没有文件上传)
解题步骤:
1、尝试使用data协议,data://text/plain,<?PHP @eval($_POST['x']); ?>,发现php马被过滤掉了
2、右键检查元素,查看代码,发现data没有了,替换成了空,其余的都在,被注释了
3、想到解决方法是双写datdata://a://
4、将地址放入蚁剑或菜刀中连接
5、点击html,找到key.php,拿到key
4、反序列化
(1)真题一:对变量temp进行序列化
解题思路:
读懂代码,分析代码
序列化可理解成编码,反序列可理解成解码
解题步骤:
1、读代码,发现有个GET变量,将输入的str反序化,temp序列化,并输出key
2、自己写一个将变量temp序列化的代码,放入到上一题的html的目录下
3、访问上一题的链接加地址,会出现序列化出来的字符串
4、回到答题页面,?str=序列化出来的字符串
5、成功出现key4
<?PHP
$TEMP = "Whatever is worth doing is worth doing well.";
echo serialize($TEMP);
?>
5、失效的访问控制
(1)真题一:增加X-Forwarded-For头
解题思路:
分析题目,只允许本地访问,就是自己访问自己,要在admin用户下找key
做法就是伪造IP,让服务认为这个我是自己访问自己
判断访问者起始来源的IP地址,一般使用X-Forwarded-For头(用途:代理服务器告诉目标服务器我们客户端使用的真实IP)
解题步骤:
1、抓包,添加X-Forwarded-For头,IP为127.0.0.1
2、看到cookie,发现usename=被base64编码了,解码出来是guest
3、由题干条件知道,key在admin用户下,所以要修改usrname为admin,并进行base64编码,=进行URL编码
4、IsAdmin改成true,发送,成功出现key5
7634
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
