m0_64180167的博客

就是这里 因为我们没有传入name 所以这里是没有值的 我们可以开始测试ssti了。出现了 typeerror 这里的报错 通过翻译就可以发现是没有值的迭代。这道题挺有意思的 组合拳 主要是你伪造 session需要知道如何伪造。存在 然后这里我们看app.py存在waf 但是其实有一个工具直接绕过。但是这里是存在处理的我们如何执行呢 工具给我们了一个pyhton脚本。查看代码 发现这里存在一个session 的鉴权。告诉我们去访问 name 并且给我们key。发现 可以输出没被过滤的payload。

其实这个很简单首先ssti 直接fenjing一把锁了这里被加密后 存储在 config中了 然后我们去config中查看即可{{config}}可以获取到flag的值然后就可以写代码解密因为都是异或 异或的异或就是 原本 所以不需要修改就可以输出flag。

然后我们开始fuzz 发现 select ，union 都没了。首先这道题需要预处理写马 之前在ctfshow中学习过预处理。发现可以闭合 所以这里是存在堆叠注入的。这里就实现了绕过 并且执行了命令。首先我们开始判断是否存在注入。所以我们看看能不能写木马。

发现确实是 print_r 为什么我们需要这种格式呢 我们下面来看这个形式。然后这里使用 readline(end(scandir(.))) 即可。我们之前获取到的取反 其实都是通过 ~ 来获取的 所以这里无法体现。成功执行 这里我们 这里过滤了 system等 使用 prin。这里我们发现 需要字符不能超过13个 我们首先看看构造。print_r(scandir(.)) 需要多少个。我们看看是不是我们构造的print_r。我们使用代码输出看看是不是我们需要的。我们将我们的取反进行修改。

发现返回了一个文件 执行是我们的代码 所以这里其实是c语言的编译器没错了。这里我们可以通过 #include 引入文件 然后进行包含。发现成功读取到了 这里我们直接读取flag。报错 这里我们查询一下 是c语言的编译。我们尝试输入正确的代码。

太多了 不切实际一个一个查 看看有没有其他数据库。然后如果正确就会返回值 否则 返回1。发现传递参数 直接尝试sql。发现回显 直接开始注入。

这道题可以学到很多东西 静下心来慢慢通过本地知道是干嘛用的就可以学会了这里开始一部分一部分看。

然后这里注意的是 perl 中的get 调用了 open的参数 所以其实我们可以通过管道符实现命令执行。然后通过（GET filename）这种形式实现命令执行 然后再写入一个文件。发现这里使用open打开 的时候 如果通过管道符 就会实现命令执行。我们通过filename生成一个shell文件（名字为shell）这里是内容 我们输入通过GET url 可以实现写入一个文件。然后这里如果file可控那么就继续可以实现命令执行。这里可能比较抽象 我们来本地测试一下。这里我们首先可以通过。

这道题不需要爆破也可以getshellssti都给你了但是学习记录一下pin的获取首先就是通过base加密后 当base64解密的时候 会造成ssfr这里过滤了 * 所以使用 {{7+7}} 实现然后我们开始看看源代码可以发现HINT 下存在pin所以是找pin这里我们开始在解密随便输入内容报错了 然后我们可以看源代码这里可以发现没啥内容 但是有waf首先通过读取读取一下/etc/passwd。

说一下我的思路吧robots没有扫描发现存在 dir.php然后404.html 报错这个又正好存在漏洞 所以前面全去看这个了结果根本不是这样做。。。正确的思路是这样发现变量 认为是 name和 pass传递参数或者通过爆破 但是太慢了我们可以抓包测试发现了 hash 因为提示我们MD5 所以我们需要注意然后我们传递一个?name=2发现hash变了 这里我们就多半能确定 cookie是我们的pass因为 name改变 cookie也改变 然后都是hash值。

首先我们看到账号密码有提示了我们bp爆破一下我首先对数字爆破 因为全字符的话太多了爆出来了哦所以账号密码也出来了没有什么用啊扫一下吧有git。

这里我们可以发现没有过滤 \ 所以username 我们可以通过 \ 来绕过。这里很坑 上面的 字符*的时候会循环输出。所以还是要通过 查询admin passwd 进入。所以我们可以通过 布尔注入实现这道题的读取。写注入的代码 这里很多都被过滤了。发现进行302跳转 但是没办法。但是放出了 ^和 regexp。所以我们通过passwd注入。然后空格使用 /**/代替。不知道是环境问题还是什么。说需要admin的密码。or 使用 || 代替。我们可以通过正则来读取。

确实 我扫目录 robots.txt 啥都没有 功能点都没有.....第一次遇到参数爆破 记录一下。但是确实没有想到参数爆破。这道题目就提示 SSTI。

爆列名的时候 因为 'users' 会给过滤 所以我们要通过16进制来实现。所以最后我们 然后 后面的path 就变为了可控了。最后发现 只有 image.php.bak存在。这里是文件名 那我们从文件名注入吧。但是这里我们不可以使用 \\。扫除 robots.txt。那我们sql语句就会变为了。成功了 我们直接上传木马吧。这里主要的地方是 \\0。过滤了 换短标签看看。因为第一个\会被转义。所以我们需要 \\0。

这里确实完全不会 第一次遇到一个只有文件读取思路的题目这里也确实说明还是要学学一些其他的东西了首先打开环境只存在一个框框 我们通过 目录扫描 抓包 注入 发现没有用我们测试能不能任意文件读取发现读取成功其次我到这里就没有思路了我们首先学东西吧当遇到文件读取我们可以读取什么。

buu上 做点首先就是打开环境 开始信息收集发现源代码中存在?file提示我们多半是包含我原本去试了试 ../../etc/passwd失败了 直接伪协议上吧我们通过伪协议全部读取我们提取关键信息。

扫除git通过githack获取index.php发现是命令执行 并且存在过滤我们之前使用的 print_r(dirname(__FILE__));在这里不可以使用。

或者可以利用排列组合 的 排列来搞。一直看js就可以获得最后的混淆。

错误的值 我们首先fuzz一下。确定了f 开头 我们开始写脚本。

第一眼没看出来 我以为是伪造管理员就先去测试管理员账号去register.php注册 首先先注册一个自己的账号我喜欢用admin123发现里面存在修改密码的内容 那么肯定链接到数据库了题目又提示是sql那我们看看能不能修改管理员密码首先我们猜测闭合通过用户名admin"然后点击修改密码 进行修改密码发现报错了这里我们就可以先进行判断sql语句了那我们这里就很简单了 因为修改成功没有回显 报错有回显我们直接报错注入即可发现报错了 肯定存在过滤那我们fuzz一下。

我们去看看cookie 发现是base64加密。提示了很多在cookie中。

看看代码还是很简单的存在两个方式。

就例如 我的世界 的种子 一样 一个种子 生成的世界是一样的”看似是随机的 但是通过固定种子 就可以实现 同一批次的数字。获取到种子 然后 在 php7.1以上的环境运行。首先需要将字符转变为 数字 让工具去随机。我们可以通过随机数来计算 种子数。这里又遇见了 伪随机数。访问ckeck.php。

就是检查文件头 那我们直接修改文件头上传即可。报错了我们去看看 这个 exif是什么。我们直接随便上传一个看看。很显然是我们文件上传。

这题很明显就是 SSTI了源代码我们试试看{{7*7}}然后我们就开始吧原本我的想法是直接{{url_for.__globals__}}但是回显是直接500 猜测过滤 我们正常来吧这里我们需要 os 来调用但是这里存在一个类 可以不需要os。

_SERVER['PHP_SELF'] 表示当前 php 文件相对于网站根目录的位置地址。/index.php/config.php 这种路径 访问的还是 index.php。还是在index.php中过滤了 说明访问的还是 index.php。他就会去除掉 %ab 然后就变为了 config.php。但是这个为什么不会被匹配呢 我们去正则测试一下就行了。如果我们在后面加上 /config.php呢。首先看看 PHP_SELF输出的是什么。那么这道题目payload就出现了。我们现在的突破点在哪里。

然后我们需要绕过 第一个判断个数 又要过第二个正则 正则使用 %0A 即可。选择就是如何绕过 change 输出flag 就要开始逆向了。我们通过 GET POST 传递参数是将字符串作为数组传递。这里面就显示了 我们 在每个位置可以 选择绕过的 字符。其次就是通过 fie_get_content读取。我们要如何实现绕过呢， 下面这些方法都可以实现。运用这里我们就可以绕过许多的waf 或者拦截。第一个我们如何绕过呢 使用上面的表来桡过。这里能发现 就是进行了两个操作。那么传递了参数 做了什么操作。

正确回显 100 错误 显示 not。发现回显了 我们可以开始编写脚本跑了。这道题很简单 就是sql注入。我们来学习一下如何写盲注脚本。接下来就是爆破表和字段了。我们使用二分法来写一遍。这里很显然就是盲注了。回显了 就拿这个去咯。

确实第一次做想不到dir啥的都扫不出来因为 buu没有给源代码所以完全搞不出来只能去看看wp偷一个代码还是很简单的主要是怎么做。

第一次直接打包代码 然后查看有没有洞学习一下降低速度扫描dirsearch -t 2 超低速扫描扫到了/www.zip /profile.php /register.php /upload/ 未加参数 我们直接去看看我们直接下载备份文件即可。

有意思。。。。过滤了数字字母我们要绕过并且执行rce这里使用取反和异或都可以。

这道题也是很有意思！通过规定白名单和黑名单 指定了 函数为数学函数 并且参数也只能是规定在白名单中的参数我们首先要了解 通过进制转换执行命令的第一时间就是想到 hex2bin/bin2hex。

这道题有点意思 是SSI 漏洞照样 我们先熟悉SSI漏洞是什么。

记录一道过滤 or 导致无法使用 information_schema.tables的题目。

这道SSTI 差点给我渗透的感觉了 全是API 我还想去访问API看看。发现成功了 是受控的 这里我就开始没有思路了。欸 那我们可不可以直接修改参数呢。没有东西 我们看看还有什么提示。于是看了wp 说是ssti。发现这里读取了我们的ip。我们抓包看看是如何做到的。

所以我们可以使用其他命令执行 函数 例如 assert。这里还要fuzz一下 因为system不能执行。看看执行主要是 echo $b($a)那就是$b是命令 $a是参数。

这道题也很好玩 啊 原本以为是ssrf 或者会不会是rce结果是通过nmap写入木马我们来玩一下。

例如 url_for() 或者 get_flashed_messages()我们要注意 这里过滤config和self是因为他们是变量 就会过滤。如何存在safe_jinjia 进行过滤 config 和self。存在 current_app 就是当前app 那么我们访问一下。这里用了 flask 我们就应该想到是 SSTI 模块注入。我们下面的payload中的是属性 所以不会过滤。其中存在/shrine/ 目录。去读取全局变量 如何访问。我们需要使用其他函数。我们先去看看全局变量。

dirsearch扫吧然后就可以得到 robots.txt了 记得降低点线程-t 50 这样我们去访问一下去看看 但是这个文件名一看就是fake的抓抓包看看有没有传递什么吧这里不是很顺的 其实前面耶抓包看看了 但是没有东西就不放上来了访问一下咯乱码 火狐 ALT -> 查看 -> 修复文字编码 即可。

看到这个界面就像admin 123456弱口令试试看果然进不去这里有个tips 但是没有办法点击 我们进源代码看看发现源代码中就存在检测账号密码的内容但是不知道该干嘛这里很奇怪 为啥xml我们直接搜搜看xml存在什么漏洞发现存在xml注入漏洞我们来学习一下这是最简单xml注入这里是使用外部实体注入。