目录
Find my Friend
这道题其实就是签到题,不过因为我的基本功不太像话,所以没有想到data.txt,最后还是看了提示才知道是加上data.txt为后缀,然后ctrl+f搜索flag找到答案。
Easy-yinkelude
这一道题是文件包含类型,知道大致方向就好写了。先看这一段php代码,意思基本上是用POST上传file的内容,class定义一个hello类,new class定义一个匿名类;然后shit=serialize(a),最后如果file_get_contents($file)==$shit,则得出flag。
serialize()
serialize() 函数用于序列化对象或数组,并返回一个字符串。
serialize() 函数序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变。
如果想要将已序列化的字符串变回 PHP 的值,可使用 unserialize()。
file_get_contents()
file_get_contents() 把整个文件读入一个字符串中。
该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持,还会使用内存映射技术来增强性能。
知道这两个函数的意思后就知道了应该怎么做。不过我并不知道怎么让本地文件上传到题目,所以我去搜了一下发现还有另一种方法。借鉴的wp
data://伪协议
data://伪协议是一个数据流构造器,将读取后面base编码字符串后解码的数据作为数据流的输入,所以构造data://text/plain;base64,xxxx 即可将文件内容改为base64解密的内容
因此我们先得到反序列化后的值 。
将题目中的源码改一下,输出Tzo1OiJoZWxsbyI6MTp7czo0OiJmYWxnIjtzOjY6InRxbDEyMyI7fQ== 。
payload:data://text/plain;base64,Tzo1OiJoZWxsbyI6MTp7czo0OiJmYWxnIjtzOjY6InRxbDEyMyI7fQ==
使用burp抓包 ,然后右键send to repeater,接着对内容进行修改,改为post包。
要注意两点:1.将传参方式改为post 2.添加Content-type: application/x-www-form-urlencoded
send,然后得出flag。
XSS也就这样嘛?!
先看使用说明
知道了本题和alert函数有关,但是我的xss还有Javascript还没有怎么学习,了解甚少,所以这道题完全是依葫芦画瓢,所以xss还有js要开始学习了。参考博客
pass-1
使用hackbar,将用户名改成这样子,然后过关。
?username=<script>alert(1)</script>
pass-2
查看源码,我们可以看到username被escape函数编码了,基本上就很难绕过。可以对username下手。
?username=';alert(1);//
这样username就是这样:
var username = ‘’;alert(1);//’; 成功执行了alert(1),过关。
pass-3
输入上一关的payload,查看源码发现这次过滤了单引号,那就输入两个单引号。过关。
?username='';alert(1);//
pass-4
伪链接
javascript:alert(1),浏览器会把javascript后面的那一段内容当做代码,直接在当前页面执行。
代码中接收jumpUrl作为跳转url,所以,
/level4?jumpUrl=javascript:alert(1)等待10秒过关。
pass-5
限制1
if(getQueryVariable('autosubmit') !== false){ ...... }
限制2
autoForm.action = (getQueryVariable('action') == false) ? location.href :getQueryVariable('action');
/level5?autosubmit=1&action=javascript:alert(1)
pass-6
我们看一下这个环境用的是哪个模板,发现是AngularJS
首先参考下面这个网页:
AngularJS客户端模板注入(XSS)
看完后就是模板注入XSS有了了解,不过由于我们的Angular版本是1.4.6,存在沙箱,因此要去搜索这个版本的Angular的沙箱逃逸的方法:AngularJS Sandbox Bypasses
从中得知的逃逸的办法:
?username={{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}
然后过关,得出flag。
这次比赛让我意识到自己还有许多不足,web仍未修成,你我皆需努力。接下来就要对xss还有js进行学习,避免看题时一脸懵逼😵。
891
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
