- 博客(45)
- 收藏
- 关注
RSS订阅原创 BUUCTF-web刷题篇(11)
这道题很可能用admin或者伪造admin进行登录,用admin进行登录,随便填写密码进不去,发现页面有register、login,用admin注册提示已经被注册。爆破之后提示429和302,可以看一下429的response,提示的是太多请求的问题,更改options的选项。进入登陆界面,用户名输入admin,密码随便写,抓包对密码进行爆破:action向intruder发送。控制数据量,正常返回结果就有一个,payload的长度是不同的。可以确定admin的密码是123,登录即可得到flag。
2025-04-04 15:36:37
74
原创 BUUCTF-web刷题篇(10)
如果在项目中遇到MD5加密结果不一致的问题,可以观察两个加密结果的长度是否相同,比如一个结果是16位,而另一个结果是32位,这种情况就可以考虑更换输出格式来解决。而在mysql中,在用作布尔型判断时,以数字开头的字符串会被当成整型,不过由于是字符串,因此后面必须有单引号括起来的,比如:'xxx'or'6xxxx',就相当于'xxx'or 6,就相当于'xxx'or true,所以返回值是true。aeb=a*10^b。绕过思路1:遇到弱比较(md5(a)==md5(b))时,可以使用0e绕过。
2025-04-04 15:34:10
675
原创 BUUCTF-web刷题篇(9)
变量password使用POST进行传参,不难看出来,只要$password == 404为真,就可以绕过。函数is_numeric()判断其中的参数是数字还是其他,如果是数字则判断为真,否则为假。这里我选择传入的参数为404a (用hackbar传参)随后就会得到nember lenth is too long ,意思为money的长度太长到这里没了什么思路,但是看到他的php版本后,问题就简单了,众所周知php5.3.3有一个漏洞,可以利用函数strcmp()进行绕过,所以得到一个payload。
2025-04-03 21:17:09
417
原创 BUUCTF-web刷题篇(8)
可以看出原页面通过js将表达式传给calc.php,同时calc.php对传入的参数进行了一些限制后使用eval函数输出结果。我们尝试了提交非数字的字符报错,我们审计代码后,发现可能是num变量被waf过滤了;PHP会将查询字符串(在URL或正文中)转换为内部$_GET等关联数组。有一个名叫f1agg的文件,感觉像是flag文件,我们尝试打开。通过查阅资料我们可知这里需要利用php的字符串解析特性。查看源码,发现有段代码有php文件,即calc.php。尝试扫描下这个文件下的包含文件。
2025-04-03 21:11:22
450
原创 BUUCTF-web刷题篇(7)
在web题中我们会经常用index.php或者flag.php来查找一些信息,这道题考虑到备份文件,所以尝试在这些后面加上备份文件的后缀来访问。查看源码没有什么有用信息,也没有登录界面,所以也不会用到蚁剑链接来找备份文件,所以大概率就是通过构造playload来查找备份文件。.zip/.rar:表示压缩文件的备份,通常将原文件或文件夹压缩成.zip或.rar格式的文件作为备份。.old:表示旧版本文件的备份,通常是在原文件名后面加上.old。.bak:表示备份文件,通常是在原文件名后面加上.bak。
2025-04-02 21:25:45
409
原创 XSS漏洞的分类解释和演示实验
XSS漏洞:跨站脚本攻击(cross site scripting),为了不和CSS混淆而改名。攻击者网web插入恶意script代码,当用户浏览页面时,嵌入的代码会被执行。危害:盗取各类用户,强制发送电子邮件,网站挂马等。XSS主要分为三种类型:反射型、存储型、dom型。
2025-04-02 21:22:17
685
原创 文件包含绕过的小点总结(2)
例如访问:http://localhost/upload.php?访问:http://localhost/upload.php?例如访问http://localhost/upload.php?
2025-04-01 21:59:28
532
原创 文件包含漏洞的小点总结
filename=1.txt(upload.php文件内容意为使用GET方式将文件名参数传入,执行包含指令),访问如图(即使是txt文件,但是include会将其按php文件进行解析)我们再使用文件包含,即访问http://localhost/upload.php?感受一下使用phpstudy的文件上传,开启phpstudy的apache服务,在网站根目录新建两个文件。文件包含有本地包含与远程包含的区别:本地包含只能包含服务器已经有的问题;如果服务器对上传的文件有限制,我们需要做绕过处理将文件包含进去。
2025-04-01 20:31:10
591
原创 BUUCTF-web刷题篇(6)
(思路:在class.php中发现反序列化函数,写序列化函数将对象转化为字符串,通过get方式以select为载体得到该字符串,调用反序列化函数,调用的过程中会自动调用__wakeup()函数,所以通过反序列化变量个数与实际不符绕过__wakeup()函数,最终输出flag)③__destruct()//在到某个对象的所有引用都被删除或者当对象被显式销毁时执行或者当所有的操作正常执行完毕之后,需要释放序列化的对象即在脚本结束时(非unset)php才会销毁引用,一般来说在脚本正常结束之前运行。
2025-03-31 19:57:25
770
原创 各服务器的解析漏洞小点总结
使用BP拦截,将请求内容发送至repeater模块,并将请求内容改为上传asp请求内容(1.jsp里面将IP一改复制过去即可),send后,在主机访问ip:port/1.jsp?访问IP,上传图片马文件webshell.png,上传成功后会显示图片马在服务器的路径,在主机拼接路径后加上/a.php就可以执行图片马文件内容,如下:(直接写/.php也可以访问)Windows主机上使用tomcat,并且使用http put请求方式,其存在解析漏洞,即使上传123.asp.jpg文件,其也会认为是jpg文件。
2025-03-31 13:30:32
432
原创 BUUCTF-web刷题篇(5)
按照传统方法,新建文件(xinjian)写一句话木马,利用Windows文件后缀识别的特点,将后缀名改为图片后缀名(xinjian.jpg),上传文件,抓包改包。检查与您的MariaDB服务器版本对应的手册,以便在第1行'1=1#'和password='1''附近使用正确的语法。双写可以绕过,后面遇到同样被过滤的词,直接双写就OK了。发现or被过滤了,试试双写 将or换为oorr。可以在页面上返回信息的是2,3字段。字段为1,2,3的时候页面显示为。②联合查询1,2,3字段。构架url用蚁剑连接。
2025-03-30 22:05:31
241
原创 BUUCTF-web刷题篇(4)
特别值得注意的是,一个动态GIF是一个以GIF89a格式存储的文件,在一个这样的文件包含的是一组以指定顺序呈现的图片。文件后缀不能为php,文件绕过的格式也有php,php3,php4,php5,phtml,pht,那我们挨个试一遍,发现.phtml是可以正常绕过的,但是出现新的问题,不能存在<?但我们不知道这个文件我们上传的位置在哪里,只能靠猜,一般的文件上传的位置都是upload/shell1.phtml,添加成功后,就能看到服务器的目录。看到上传的漏洞,我们的想法是新建一个文件,里面是一句话木马。
2025-03-30 21:58:02
454
原创 BUUCTF-web刷题篇(3)
查看网页源代码,发现Secret.php,点开后发现是"it doesn't come from 'https://Sycsecret.buuoj.cn'",提示该网页的Referer头为"https://Sycsecret.buuoj.cn",在请求头中添加Referer:https://Sycsecret.buuoj.cn字段发送请求后得到响应为。1)概述:User-Agent是HTTP请求中用来检查浏览页面的访问者在用什么操作系统(包括版本号)浏览器(包括版本号)和用户个人偏好的字段。
2025-03-29 20:47:14
927
原创 BUUCTF-web刷题篇(2)
show tables#(爆出表),本题解析后发现后台的语法可能是select.POST['参数']||flag from Flag 因此可以输入*,1来显示全部内容,最后得到flag。是代码审核,这里使用了filter伪协议,当我们利用该协议查看flag.php时会把源代码爆出来,使用secr3t.php?④输入order by 例如:1 order by 2#(当使用order by去试探有多少个字段时,返回的是nonono,所以猜测order by参数被过滤了(即联合查询注入行不通))
2025-03-29 20:44:52
351
原创 文件上传绕过的小点总结(10)
简单思路:开启BP拦截,上传loudong.jpg文件,BP拦截数据,将save_name改为save_name[0],并将upload-20.jpg改为upload-20.php,再增加一个元素save_name[2],设值为jpg,关闭拦截。两者的差异来源就是count($file)-1,两种情况的值都为1,但第二种情况,save_name[1]为空,save_name[2]设为jpg,但形同虚设。于是我们利用这种数组上的漏洞,修改save_name数组值,就可以绕过限制。复制图像链接,直接访问。
2025-03-28 10:43:25
333
原创 文件上传绕过的小点总结(9)
从BP拦截的name="save_name"中可以看到,服务器对上传文件做了重命名,那么我们可以利用文件名截断的方式上传漏洞,上传文件loudong.jpg,服务器改为upload-19.jpg,我们就在拦截中改为upload-19.php%00.jpg。上传loudong.jpg后,服务器改为upload-19.jpg,我们改为upload-19.php/.源码给出黑名单限制和服务器对文件名的重命名处理。访问.php文件即可,后面的jpg直接删掉。我们对文件重命名有两种方法。
2025-03-28 10:42:22
491
原创 文件上传绕过的小点总结(8)
apache存在解析漏洞,即后缀为.php.*的文件,都被视为php文件,我们可以利用这个漏洞上传木马文件,比如后缀为.php.7z,利用条件竞争上传文件。访问http://localhost/uploadinfo.php.7z或者https://localhost/upload/info.php.7z。clear全部字段,info.php.7z后面加空格,并对空格进行add。设置payload,并设为持续爆破,start attack开启爆破。(可能会被上传到根目录下)
2025-03-27 17:20:51
641
原创 文件上传绕过的小点总结(7)
但是系统文件有个特点,即文件打开状态是不能删除的,我们利用这个特点爆破型上传文件,即使服务器想要删除文件,但是文件处于一个打开的状态, 它也难做到,这就是条件竞争。因为我们要爆破的参数只有一个,并且不需要添加字典,所以payloads set设为1,payload type设为null payloads,选择continue indefinitely。上一篇《文件上传绕过的小店总结(6)》提到的二次渲染,有两种方式进行绕过,一个是文件包含绕过,另外一个是条件竞争绕过。上传info.php文件。
2025-03-27 14:47:06
367
原创 BUUCTF-web刷题篇
ffffllllaaaagggg,打开文件之后发现没有什么关键信息,应该是键入的路径不对,但是我们不清楚它的具体位置,所以用5次../返回,即键入source.php?file=php://filter/read=convert.base64-encode/resource=flag.php,打开文件后得到伪代码,使用工具进行解码得到源代码,即。从带有GET 方法的表单发送的信息,对任何人都是可见的(会显示在浏览器的地址栏),并且对发送的信息量也有限制(最多 100 个字符)127.0.0.1;
2025-03-26 21:57:13
776
原创 文件上传绕过的小点总结(6)
很多服务器为了防止代码嵌入图片,通常会将上传的图片进行重新生成处理,包括文件格式转换等等,嵌入的恶意代码很容易被改掉。于是产生了二次渲染,二次渲染的原理就是找到服务器处理文件的保留块,并且将恶意代码插入其中,进行攻击操作。修改好后上传文件,复制图像链接,在文件包含页面中连接参数访问(文件包含页面给的是GET方式请求),访问成功。简单思路:打开cmd使用命令将info.php嵌入image.gif生成一个新的图片木马文件shell.gif,并上传。服务器经过文件处理会重新生成一个新文件,保存至本地。
2025-03-26 21:36:35
553
原创 文件上传绕过的小点总结(5)
说明是以2个字节的方式读取的,图片使用编辑器打开的首字段是"PNG",而php文件打开是"<?",很容易发现上传PHP文件。上传图片马成功后复制图像链接,例如http://localhost/upload/565465656454.png。对于%00截断,GET方式可以自动解码,但是POST方式不能自动解码,遇到这种问题,手动解码就行。前文《文件上传绕过的小点总结(4)》中提到的是%00截断绕过的GET方式。如果以POST方式请求,url后面不跟参数,在body里面添加%00。
2025-03-25 11:53:28
745
原创 文件上传绕过的小点总结(4)
第一个参数是所有文件名的黑名单,第三个参数是上传的文件名,该函数意为将如果上传的文件名在黑名单中,则全部替换为空,那也就是我们所有的php等后缀都无法生效,但是我们可以利用这一特点,代码执行从左至右,我们可以嵌套php在php里,例如info.pphphp,代码从左至右运行时,会将中间的php置换为空,就剩下info.php了,刚好文件生效。简单思路:开启BP拦截,上传info.php文件,拦截内容后将"info.php"改为"info.php. .",在关闭拦截,此时就可以成功上传文件。
2025-03-25 01:03:00
357
原创 文件上传绕过的小点总结(3)
简单思路:开启BP拦截,上传info.php文件,拦截成功后文件名info.php后面加个空格即可。简单思路:开启BP拦截,上传info.php文件,BP拦截修改info.php为info.php.同理,拦截时修改,复制图片地址访问,即成功上传。源码给出这样的,发现文件名处理没有首尾去空,于是我们可以采用首尾加空的方式绕过。给出的源码并没有文件末尾去点的处理,于是我们可以通过文件名后缀加点来绕过。发现源码没有删除字符串::$DATA操作,可以通过这个绕过。复制图片地址访问如图,即成功上传。
2025-03-24 16:46:11
285
原创 文件上传的小点总结(2)
多数文件后缀都被限制,甚至.htaccess也被限制,我们可以找找文件名处理的一些办法,与第四点的源码对比,我们可以发现,其缺少对文件转为小写的操作,于是可以通过大写后缀来绕过文件后缀限制。.htaccess可以启用或禁用apache的功能,利用这个特点,我们可以使用该文件来禁用上述黑名单功能,从而上传**文件。简单思路:先上传.htaccess文件,禁用掉某一功能后,再上传文件。以下是.htaccess文件的代码:要上传什么文件就在后面写什么文件。复制图像链接访问如图:即上传成功。
2025-03-24 10:36:23
530
原创 文件上传的小点总结(1)
因为上传的文件是info.php,所以这里的content-type参数为application/octet-stream,我们要骗过它,直接改为image/png。发现靶场的源码有文件类型过滤(包括png,jpeg,gif等),无法上传非图片类文件,我们可以采用拦截修改类型绕过。源码遇到类似的,说明是黑名单限制,但是只有php,asp等,我们可以将文件改为php3,php5,phtml等后缀。放通数据,或者直接关闭拦截,就可以将文件成功上传,复制图像地址访问,就可以打开info.php的内容。
2025-03-23 21:42:49
588
原创 文件上传的小点总结
③使用notepad++修改文件上传过滤的JS文件,使其条件判断允许非正常文件后缀通过,并且在form表单中加入action属性,处理前端页面。将文件名改为111.php,直接上传文件,上传成功后,复制图片地址。重新打开本地保存好的靶场首页文件,选择任意php文件上传后,复制图片地址进行访问。服务器端脚本语言对上传文件没有严格的验证和过滤,就可以给攻击者上传恶意脚本文件的可能。下面就是一个文件类型判断的代码,将判断条件可以直接改为1==-1就可以让文件允许上传。上传成功,刚才的两个文件这里都可以看到。
2025-03-23 17:13:36
232
原创 Metasploit的简单使用和模拟实验
在进行渗透测试时,用户首先需要选择合适的漏洞利用模块,并根据目标系统的情况配置相应的参数,然后选择要执行的payload。框架会将漏洞利用模块和payload组合起来,生成一个可执行的攻击脚本,通过网络发送到目标系统,尝试利用目标系统的漏洞来执行payload,从而达到攻击目标的目的。简单思路:准备两个系统,一个当受害机,一个当攻击机,使用ifconfig查询受害机的IP,在攻击机上进入MSF工具,使用漏洞模块,使用RHOST设置要攻击对象的IP,运行后可以使用shell命令。
2025-03-17 21:46:32
275
原创 信息收集的相关小点
NC只能通过网站IP地址扫描,上面的命令表示输出扫描该网站的3306端口的信息,如果不知道IP,可以通过ping 域名的方式获取该域名IP,或者可以通过nslookup输入域名进行域名解析从而获取IP。①通过NC扫描:键入命令nc -n -v -w1 -z 102.14.255.23 3306,即nc命令+域名IP+端口(端口可以写多个),注意的是有些安装的nc中所包含的可执行文件是nc64.exe,所以写命令的时候应该写nc64。信息收集包括收集操作系统,中间件,源码框架,语言脚本等信息。
2025-02-27 23:40:55
209
原创 netcat的简单使用(2)
物理机打开netcat的目录,打开命令窗口后键入nc64.exe -lvp 5566,表示开启监听端口。在netcat-win32-1.12目录下打开两个对话框(一个作为客户端,一个作为服务端),输入如下命令:(上面为服务端,下面为客户端),nc64 -lp 5566 >output.txt表示为可以将接收到的数据自动创建文件并写入该文件中,nc64.exe 127.0.0.1 5566 <input.txt表示为将刚才写好的客户端的数据传输给服务端。可以在kali中进行尝试,扫描其他主机的端口情况。
2025-02-26 22:38:16
573
原创 netcat的简单使用
nc64.exe -lp 5566意为服务端开启指定端口(该端口也可以改为其他端口)的监听,nc64.exe 127.0.0.1表示监听本地5566端口,两者进行数据传输。输入命令后如果没有显示异常就可以进行简单的聊天了,如图:服务端可以向客户端发送信息,客户端也可以向服务端发送信息。nc64.exe 127.0.0.1 5566可以监听本地5566端口,并且能控制服务端,可以运行ipconfig等命令,从而查询服务端的相关信息,但输入命令后是服务端在运行。如图,左为服务端,右为客户端。
2025-02-25 23:07:45
449
原创 buuctf题目the mystery of ip
有三个按钮,flag点击后发现页面窃取客户端的IP地址,通过给出的github代码中的php文件发现可以通过XFF或Client-IP传入值。使用hackbar或BP。经系列测试知道是smart注入,Smarty是一个PHP的模板引擎,提供让程序逻辑和页面显示(HTML/CSS)代码分离的功能。
2024-06-29 16:50:32
206
原创 buuctf题目had a bad day
页面显示两个按钮,一个WOOFERS,一个MEOWERS,任选一个出来相应图片,对应的url为/index.php?category=woofers(或index.php?出来的字符串发现很像base64编码后的字符串,于是解码得flag。
2024-06-29 10:44:52
578
原创 buuctf题目Fakebook
使用御剑扫描域名得到flag的位置,得到flag.php在服务器根目录下,从前面的报错内容上看服务器根目录为/var/www/html,所以构造的blog为file:///var/www/html/flag.php。则data字段的值为file:///var/www/html/flag.php序列化后的结果,又因为blog被限制为url形式,所以不能通过join方式。页面显示:有login和join两个按钮,join应该是注册,输入数据后老是提示blog is not valid,是数字型注入,验证得到。
2024-06-28 15:50:59
785
原创 buuctf题目Easy java
刚才查看help的url为.../Download?filename=WEB-INF/web.xml(get方式),发现页面有改变,所以再试试post方式,构造payload:(使用hackbar或者bp)题目是easy java,关于Java,有可能是WEB-INF泄露:WEB-INF是Java的web应用的安全目录,如果想在页面直接访问其中的文件,必须通过web.xml文件对要访问的文件进行相应映射才能访问。下载好文件后打开有一串经过base64编码的字符串,解码试试,得到flag。
2024-06-28 10:17:12
479
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人