离暑假还有41天的博客

反序列化，PHP伪造协议读写

反序列化的执行顺序复习序列化的表达格式file_get_content()可以读取php://filter伪协议

php弱类型比较，注意Cookie值，php利用数组赋值进行绕过,科学计数法

SQL联合查询，注意有源码看源码，Base64以及32的区别，MD5碰撞

在Proxy——代理设置中——翻到底，勾选忽略浏览器的Burp错误信息。然后刷新你的网页，就可以按常规操作，点击“继续访问”，打开网页了。

如果字典里有’123’的话，会发现响应的长度不一样。说明admin这个username肯定是要用的。万能密码 1’or’1 无效 不是sql注入。用burp开始字典爆破password。输入admin 111 以及验证码。会提示username已被注册。然后进入register界面。我们默认用户名为admin。打开后看到右上角有菜单栏。

MD5绕过 sql注入：md5($password,true)

表达式注入，被屏蔽字符的处理方式

常见的网站源码备份文件名和后缀；反序列化攻击 unserialize()：wakeup绕过，private类以及属性序列化后的%00修改

extractvalue(1,concat('~', ('your sql') ) )报错注入，注意爆破字段的时候表名有可能是table_name不是table_schema

phtml格式绕过，burp修改content-type绕过，常见的文件上传存放目录名

因为没有按顺序刷题，这道送分题要知道两个点1.什么是“一句话木马”2.什么是“菜刀” or“蚁剑”

**php伪协议请求** 参考：[BUUCTF__[极客大挑战 2019]Secret File_题解](https://blog.youkuaiyun.com/TM_1024/article/details/106202639)

本题复习：1.常规的万能语句+SQL查询，union联合查询，Extractvalue()报错注入** **extractvalue(1,concat(‘0x7e’,select(database())))%23**

要点： 伪造请求域名（Referer），伪造浏览器标识（User-Agent），伪造IP（X-Forwared-For）

和test5一样，文件上传限制为图片，使用.htaccess文件让上传成功图片木马文件进行执行

尝试在“练习5”中提到的.htaccess文件，发现也被过滤了。因为本题过滤非图片格式，所以必须加上前面的“GIF89a”in contents!,存在PHP代码检测。但最后始终刷不出来，不知道什么情况，蚁剑也死活连不上。现在传上去，因为还是图片格式文件，没有办法执行。上传强行加上gif文件头的GIF图片木马。新内容：user.ini文件。修改木马PHP代码规避检测。返回如下内容：上传文件位置。返回 不允许非image。

这道题其实不是堆叠注入，但是我在联合查询无效后，试了一下堆叠，最后一步发现被过滤的sql语句太多了，完全没法。查阅其他wp的过程，是用的handler语句，只能用于MySQL中，是类似于select的语句，详细内容我记录在我的wp中

布尔注入 试了起码8次，才拿到完整的flag，循环的时候老是会漏字符，必须设置post请求的timeout = None，并且在post请求前添加sleep(0.07)，否则可能出现漏掉字符的情况，这个0.07s还是一点点试出来的，有没有大神能解释一下为什么？

这里直接试了万能密码成功，复习一下，第一个 ’ 是为了闭合前面的sql语句，最后的1后面没有 ’ 是因为默认情况下，通常sql语句会以’ 结尾，我们注入的是’1，实际解析出来就是’1’，不会报错。报错注入通常是利用非法语句产生报错并返回报错的内容，当报错一般会返回报错的内容是什么，当返回内容为SQL语句的时候，SQL那边的解析器会自动解析该SQL语句，就造成了SQL语句的任意执行。做不出来，搜wp，SQL注入通常的思路是联合查询，如果尝试都被过滤，或者查询不到任何内容，那应该要考虑“报错注入”的方式。

提供了针对目录改变配置的方法， 即，在一个特定的文档目录中放置一个包含一个或多个指令的文件， 以作用于此目录及其所有子目录。重置靶机，修改木马文件后缀为png尝试(同样必须改Context-Type：image/png 为 image/jpeg)逻辑上先传一个.htaccess文件（指定jpg格式被解析为php代码执行）上去，试试会不会被过滤。重新开始，上传.htaccess文件，必须要修改Content-Type: 为image/jpeg。如果成功，再传一个修改为php后缀的木马文件，尝试通过木马控制。

这个文件一定要保证完全一致，记得一次题目它是用明文攻击但是明文文件格式的十六进制后有一小段提示字符串，需要手动删除，当时binwalk、和foremost也将这小段文字忽略了。PS：别人的wp里说这里的提示，结合try.zip中有readme.txt，flag.zip中也有一个同样大小的readme.txt，很明显是要进行明文攻击，先做吧。打开附件，用工具看了一遍，010Editor看上去，在jpg尾 后面还有数据，但是没试出怎么去分离出来，做不出来，开搜wp。是个函数，直接执行flag()，结束。

”或”==”来对哈希值进行比较，它把每一个以”0E”开头的哈希值都解释为0。还有一个id和gg的MD5()函数值需要相等，同时满足id和gg的值又要不等，有is_numeric(），要判定不是数字或者为字符串数字。password == 1234567 弱类型比较要成立。2.传递数组 因为向md5函数传递数组会返回NULL。构造赋值数组：id []= 111 gg[]=123。1.传md5值是0e开头的字符串，比如。阅读网页内容，是php代码分析。== 弱类型比较，要不成立。最终目标满足全部的if条件。

通常，.phtml 文件在服务器上运行时会首先解释 PHP 代码，然后将其转换为 HTML 标记，最终在浏览器中呈现为可见的 Web 页面。下一步尝试改木马文件后缀，连接antSword，先用burpSuite抓包改包时，这里参考以下博客内容，要改成phtml后缀。尝试修改后缀为：php1,php2, php3, php4, php5, phps, pht, phtm, phtml。含有PHP脚本的网页通常都以“.php”、“.php3”或“.phtml”作为后缀。另存为tlyjpg，木马文件上传成功。

当两个操作对象都是 数字字符串， 或一个是数字另一个是 数字字符串， 就会自动按照数值进行比较。==， 则不会进行类型转换——因为不仅要对比数值，还要对比类型。这句 if($key == $str) 中，== 在PHP中是弱类型比较，自动进行数值比较。is_numeric()的存在，直接输入key=123，尝试。intval() 转换字符串类型时，会判断字符串是否以数字开头。首先尝试查找常见的前端页面index.php之类的，没找到。如果以数字开头，就返回1个或多个连续的数字。如果以字母开头，就返回0。

练习，侵删