ALe0721的博客

powershell 简单来说就是 cmd 的高级版，cmd 能做的事在 PowerShell 中都能做，但 PowerShell 还能做很多 cmd 不能做的事情PowerShell 内置在 Windows 7、Windows Server 2008 R2 及更高版本的 Windows 系统中，同时 PowerShell 是构建在 .NET 平台上的，所有命令传递的都是 .NET 对象。

XXE 全称：XML 外部实体注入（XML External Entity Injection）是指攻击者向 XML 文档中注入恶意的“实体”，利用 XML 解析器的外部实体（External Entity）功能，达到读取敏感文件、发起网络请求甚至 DoS 攻击的目的。XML由3个部分构成，它们分别是：文档类型定义（Document Type Definition，DTD），即XML的布局语言；可扩展的样式语言（Extensible Style Language，XSL），即XML的样式表语言；

php://filter是php独有的一种协议，它是一种过滤器，可以作为一个中间流来过滤其他数据流，通常使用该协议来读取或者写入部分数据，且在读取和写入之前对数据进行一些过滤，例如base64和rot13等处理filter协议的一般语法为php://filter/过滤器|过滤器/resource=待过滤的数据流过滤器可以通过管道符设置多个，按照链式的方式依次对数据进行过滤处理。

因为只会web，其他方向都没碰过，所以只出了4道。

');// 输出 3第一个参数是函数的参数列表（字符串形式），第二个参数是函数体（也是字符串）。它会把字符串当作代码执行！从 PHP 7.2 开始，这个函数已经被废弃，因为太容易被滥用了举个危险的例子");");然后服务器就会执行phpinfo()造成信息泄露。

这一道题里面的知识点实在是太多了，即使这道题是我最喜欢的RCE也有点大脑停转了，所以还是做个笔记，以后方便回忆直接跳过打点，来到源码短短51行代码居然有六层过滤，也是阴的没边，这次的payload至今为止也是鼠鼠手打过最长的。

用docker起一个Linux服务器的测试环境。

在CTF和实战渗透中，不是每一个命令执行点都有回显，有时我们审了半天代码，却发现好不容易找到的命令执行没有回显，但是这并不代表这段代码不能被我们利用，在无回显的情况下也是可以利用的首先我们来写一个最简单的php命令执行的代码，因为是测试，就不加WAF了这里用docker拉了个apache下来这样测试，若5秒后响应说明可以命令执行。

预编译就是在执行 SQL 前，把 SQL 语句先告诉数据库服务器，编译好结构，然后再单独传参数进去执行！Prepared Statement（预处理语句 / 预编译语句）正常写 SQL 是怎样的？username = input("请输入用户名：")这就好像直接把“用户输入”和“SQL语句”拼成一整句话。用户只要输入了奇怪的东西，就能控制整个 SQL 的逻辑！Σ(っ °Д °;)っusername = input("请输入用户名：")重点就是！SQL 写的时候，用 占位符（?

LFI不止可以来读取文件，还能用来RCE在多道CTF题目中都有LFItoRCE的非预期解，下面总结一下LFI的利用姿势。

假设你已经getshell网站要连接mysql，就需要把mysql的账号密码保存在一个php文件中，类似config.php、common.inc.php等，在shell中，读取这些文件，找到其中信息即可ps：有时候数据库这样写：xxxx@localhost，有时候这样写:xxxx@%，当是“%”的时候，说明任意地址都能对数据库操作，于是我们在外部就能连接别人的数据库，这时候使用外部工具比较方便补充：mysql端口默认：3306，mssql默认端口：1433 ， oracle默认端口：1521。

在 JavaScript 里，对象是可以继承其他对象的属性和方法的，这种继承就是通过“原型（prototype）”实现的每个对象都有一个隐藏属性（可以通过__proto__访问），它指向另一个对象，这个被指向的对象就是“原型对象——prototype“。这些原型对象也可以有自己的原型——__proto__，层层向上直到一个对象的原型对象为null，于是就形成了一个“链条”结构~这条链子就叫做原型链（Prototype Chain）// 虽然没写这个方法，但可以调用！

当open函数要打开的文件名中存在管道符（并且系统中存在该文件名），就会中断原有打开文件操作，并且把这个文件名当作一个命令来执行。题解就是先通过路径遍历漏洞找到flag和readflag脚本，然后通过这个漏洞运行readflag脚本，虽说我并没有复现出来，但是我看懂了喵。在 1987 年发布，最初的目标是用来处理文本文件、进行系统管理，还有一些报表处理的工作喵~因为我并没有了解过perl语言，所以只能简单的看懂一点皮毛，更详细的内容建议看这篇文章。” 的缩写，是一种功能强大、灵活、富有表现力的脚本语言。

在 PHP 里，序列化是把一个对象或数组转换成字符串的过程（比如保存到文件或传输到网络），而反序列化就是把这个字符串还原成原来的变量（对象/数组）。// 序列化// 反序列化Phar（PHP Archive）是一种压缩包格式，允许 PHP 把一堆文件打包成一个.phar文件，像.zip一样可以解压，也可以当成普通文件一样 include、访问。Phar 归档中可以携带元数据（metadata），这个 metadata 是以 PHP 序列化格式保存。

无数字字母RCE，这是一个老生常谈的问题，就是不利用数字和字母构造出webshell，从而能够执行我们的命令。例如这样的过滤，就要利用各种非字母数字的字符，通过各种变换如异或、取反、自增等方法构造出单个的字母字符，然后将这些构造出的字符拼接成一个函数名，然后就可以达成RCE。

刚刚做了一道题里面用到了文件包含的SESSION_UPLOAD_PROGRESS 的利用是这道题捏。

本来原书用的是ftp，但是我怎么也复现不出来，只能简单用这个代替一下的，但是原理也差不了太多。windows物理机和kali我都试了，不知道为什么只有kali能用。这时候我们的脚本就会接收到数据，并以hex的形式输出。但是我发现这个似乎不太稳定，我也是试了两次才成功的。先附上代码，我在原书代码上加了注释，更好理解。依旧是Python黑帽子这本书。

先简单生成一个木马这个我都不用试了，都不说360，windows自带的杀软都绕不过去，让我们扔进微步看看怎么个事最意料之中的一集这次我们多编码几次看看虽然不会落地就杀，但是还是不能运行，一运行就会报病毒那就让我们试一试UPX加壳。

终于也是来到了激动人心的时刻——免杀，这集先是简单的一句话木马的免杀然而这样朴实无华的直接上传肯定是会被杀软拦截，所以就用到了免杀的技巧本次用来测试的环境有D盾，安全狗，河马webshell在线查杀（首先用我自己的几个普通的一句话木马进行环境测试发现直接就能测出来，那么接下来就是免杀的测试。

虽然没有免杀，但是也很好用了（本来想说为什么我的杀软没拦截，后来想起来我给phpstudy的路径加入白名单了。上传成功后我们访问他的目录：your_url/vul/unsafeupload/uploads/bigma.php。这里用到的是这位师傅的大马（主要是从头开始写一个大马实在太麻烦了）注：一定要用强密码，不然你传上去的木马反而会有可能被别人利用。在这里传马，这个是简单的前端校验，bp抓包改后缀就好了。还能将其他网站的文件下载到网站中。密码在木马文件中，可以自己修改。除此之外还有连接数据库等操作。

内网渗透，从字面上理解便是对目标服务器所在内网进行渗透并最终获取域控权限的一种渗透。内网渗透的前提需要获取一个Webshell，可以是低权限的Webshell，因为可以通过提权获取高权限。在进行内网渗透之前需要了解一个概念，域环境。在内网中，往往可能存在几百上千台机器，例如需要对机器进行升级、打补丁、设置权限等，管理员不可能一台一台地更新修改。因此便衍生出了域环境。管理员以一台主机作为域控制器新建一个域，将所有其他主机加入域中，以域控来操作其他主机。因为域控的高权限，导致了域控所在的主机的管理员账号密码，可

这个完成后就可以在本地测试，但是我实测他的功能只有在服务端开通监听后，主机段才能连接上，也就只能用来打服务器里没有netcat的主机（虽然说确实是这个用法）当服务器里没有netcat又想连接拿shell就只能这么打。大致就是这样，而且还加入了Ciallo～ (∠・ω< )⌒★的启动动画，当然了虽说是优化，但是我没有测过，只是理论可行，所以用上面那个就好。《python黑帽子》里面的，整体学完也是受益匪浅。我又对其进行了优化和注释。python还是太万能了。首先是书中原本的代码。

攻击者可以通过T3协议发送恶意的的反序列化数据, 进行反序列化, 实现对存在漏洞的weblogic组件的远程代码执行攻击（开放Weblogic控制台的7001端口，默认会开启T3协议服务，T3协议触发的Weblogic Server WLS Core Components中存在反序列化漏洞，攻击者可以发送构造的恶意T3协议数据，获取目标服务器权限。index.php.asc.cdb，在特定配置下，Apache会将其解析为PHP文件，利用此特性，我们可以绕过上传文件后缀检测，达到上传webshell的目的。

wp:image。

对上一篇文章的进一步说明，补充了报错注入和sql注入getshell。

无参RCE，就是说在无法传入参数的情况下，仅仅依靠传入没有参数的函数套娃就可以达到命令执行的效果这段代码的核心就是只允许函数而不允许函数中的参数，就是说传进去的值是一个字符串接一个()，那么这个字符串就会被替换为空，如果替换后只剩下;，那么这段代码就会被eval执行。而且因为这个正则表达式是递归调用的，所以说像a(b(c()));第一次匹配后就还剩下a(b());，第二次匹配后就还剩a();，第三次匹配后就还剩;了，所以说这一串a(b(c()));就会被eval执行，但相反，像。

江苏大学的十一月校赛,两道反序列化漏洞一道RCE，也是让我狠狠恶补了一下反序列化漏洞。

本来还想写点注入点或者常见绕过，但是写不动了，下次吧，下次一定。

题目对于新手还是很友好的（但我是fw），等我学成归来，直接给下一届出更整活更优秀的题，让下一届新生飞起来让下一届新生更好入门CTF，加入我们大家庭。