qq_51553814的博客

11

请添加图片描述

做ctfshow web10，感觉挺有意思的，记录下来特殊的语法在讲做题之前，先说一下mysql的几个特殊的语法首先这是我们的users表group bygroup by的作用就是将打印出来的表排序例如：最后输出一个排序后的结果，我添加了一个count(*)计数使其看的更明显当然也可以去掉count(*)with rollupwith rollup的作用就是在group by 排序的基础上再加一行，用来统计所有的数目把count(*)去掉就是可以看到password的列表凭

日志包含漏洞也是ssrf的一种吧，同样服务器没有很好的过滤，或者是服务器配置不当导致用户进入了内网原理首先需要开启服务器记录日志功能在不同的系统，存放日志文件地方和文件名不同apache一般是/var/log/apache/access.lognginx的log在/var/log/nginx/access.log和/var/log/nginx/error.log由于访问URL时访问URL时，服务器会对其编码，所以得通过抓包的形式尝试注入实际运用先通过/etc/passwd判断是否存在ssrf

最近做的几道盲注题，写下的脚本//布尔盲注import requestsurl="http://192.168.0.126/html/sql/Less-8/?id="flag=''for i in range(1,10): print(i) low=32 high=128 mid=(low+high)//2 while low<high: payload="1' and ascii(substr(database(),%d,1))&g

知识点php字符串解析特性：当WAF禁止某些字符在url上输入时，例如url禁止输入字母，?num=aaa便会收到WAF的拦截，从而无法把数据上传到后端我们可以通过输入? num=aaa的方式来绕过，因为WAF解析时解析的是’ num’，而当进入到后端时php会做两件事 1.删除空白符 2.将某些字符转换为下划线（包括空格）从而导致php后端读取的就是’num=aaa’这样就可以达到绕过WAF的目的相关php函数var_dump()//假如va

本篇主要是介绍什么是序列化漏洞，对序列化漏洞有个最初的了解。序列化的概念当一个对象需要跨文件传递时，或者说为了更加节省空间，通常会对这个对象进行序列化操作，序列化的好处就是将这个对象变成了数据流serialize()就是将对象转换为序列化的函数，而unserialize()就是将被序列化的对象重新转换为序列化，通过这样的方式，就可以达到节省空间并且跨文件传递<?phpclass People{ public $age = 0; public $name = '';

[WUSTCTF2020]颜值成绩查询 1解题就是一个布尔盲注，尝试自己写了一下python脚本，磕磕绊绊最后还是写出来了主要是学了一个二分法，理解了一下import requestsurl="http://f8aed0d0-ab96-4a36-8022-2a70701fe282.node4.buuoj.cn:81/?stunum="name=''for i in range(1,100): print(i) low=32 high=128 mid=(lo

CtfHub ssrf 文件上传原理与CtfHub ssrf Post请求类似，文件上传同样是发出Post请求，只不过Post请求报文中包含有我们的shell文件，关于ssrf post请求在另一篇有解释ssrf post请求解题同样，显示访问内网的flag.php文件，也就是url=127.0.0.1/flag.php,可以看到允许文件上传也是通过file协议看一下flag.php的源码如上图所示，后端只允许我们通过内网的方式上传文件，如果我们通过上面的文件上传，相当于是从我们本地将文件传

CTFhub-ssrf-POST请求解题进入靶场，首先看到的是一片空白，没有任何返回，甚至看源码里面也没有任何东西使用dirsearch扫描，扫出了一个文件/index.php还有一个flag.php，我是在网上看WP才知道有这个文件，看了很多篇WP都没有说这个文件怎么来的，只是直接说发现了这个文件现在先来看一看这两个文件吧首先是flag.php文件，我们让url=127.0.0.1/flag.php，通过内网来访问就能直接访问到了，访问后是一个方框再看源码发现，需要用post传输一个key

[ACTF2020 新生赛]BackupFile1进入环境，告诉我们要找文件直接用dirsearch扫扫出一个index.php.bak文件在url后面加上index.php.bak得到一个文件把转换成php文件后就得到了源码在这里intval()函数是取整在检查key和str时使用的时双等号在php中双等号时弱等于，只要我们输入的值时123二者比较时str就会只读取前面整数部分所以我们直接在url后面加上?key=123知识点这里时一个查找备份文件的知识点，备份文件后缀有.ra

[极客大挑战 2019]Http 1解题进入环境来到了这个页面，什么也没有打开源码看看最终是啥也没有，但是看到了一个.php文件登录进去看看打开后，告诉我们来源不是他要的那个地址，那就抓包改一下Referer就可以了在BP抓包后，在包后面加上一句：Referer:https://www.Sycsecret.com在返回包中告诉我们，需要使用Syclover浏览器，那么我们改一下UA就好了接着又告诉我们需要本地访问这个属于我的知识盲区，上网查询才知道“X-Forwarded-

[极客大挑战 2019]Knife 1进入环境eval($_POST[“Syc”])是一个很明显的木马后门直接连接蚁剑然后就得到flag了

[极客大挑战 2019]Havefun 1打开环境啥也没有，就打开源码看一下吧看到了一段代码提示，也就是需要我们get传参在url后面加上?cat=dogflag出现

[极客大挑战 2019]EasySQL 1直接进入题出现了登录界面，是POST注入，既然题目说是EasySQL，那么就猜绕过试试用户名和密码直接输入1观察url发现是get注入于是就直接post绕过username=‘or’1’=‘1&password=1’or’1’='1...

[极客大挑战 2019]Upload 1又是一个文件上传题打开后先上传一个php文件意料之中，php不允许上传，后来试了php4,php5,phP等都不能上传，当上传到phtml时发现可以，但是又有了新的情况文件中不允许出现<?符号，网上学到了一个一句话木马GIF89a? <script language="php">eval($_REQUEST[1])</script>接着就上传成功了，但是不知道上传地点，观察了半天后，最后就猜，一般上传地点是localho

[ACTF2020 新生赛]Upload 1要给关于文件上传题，进入靶场可以上传文件，先上传1.php试试未上传成功，且bp没有抓到包，很明显需要一个前端绕过我们把文件名改成1.jpg后，在抓包工具中讲文件名改为1.php但是同样没有上传成功怀疑是可能后端对其进行了过滤那么换成Php试试成功上传，但是访问该网页时，发现我们写的php代码都显示了出来可能后端又进行了二次过滤经过一番苦试，发现phtml可以用，最终连接蚁剑，就得到了flag...

[ACTF2020 新生赛]Include 1首先看题目信息有个关键字include，我们就应该能猜到这题的主要考点是文件包含进入靶场一进去，就让我们点击，那么我们就点击瞅瞅吧果然不出所料，url上面显眼的‘file=’就是我们想要的文件包含漏洞以开始以为flag在其他漏洞，我先用file=php//input，再Post传参但是当url后面接上file=php://input时，就直接给我返回了hacker页面，看来服务器是对input过滤了那么就换一个方式，先用file=php:/

[ACTF2020 新生赛]Exec 1打开靶场，就是一个明显的命令注入题我们ping 127.0.0.1;ls试试,可以看到，没有过滤分号和ls接着我们就遍历目录了,通过cd …/达到访问上一个目录的目的，再通过ls 达到查看该目录有哪些文件当我们到…/…/…/时可以看到有我们想要的flag了，输入127.0.0.1;cd…/…/…/flag;ls 后发现没有任何目录那么我们想要的flag肯定就在该目录下了直接127.0.0.1;cd…/…/…/;cat flag该题解决，就一

进入题打开靶场既然是注入，那么先判断注入类型。很容易就可以看出属于字符型注入并且字段为2正常开始注入发现大部分字符都被禁用了于是使用堆叠注入成功查到所有库的信息，说明堆叠注入是可以用的再看看当前库里的表show tables;接着进入一个一个进入表中看看，如果这两个表都没有就必须得去别的库看看了0’;desc 1919810931114514;#很明显，有我们想要的flag说明flag就在这里面我们再返回查询word里面有id，有data，而且正好是2个字段，所以猜测数据

CTFhub-命令注入无过滤该题无任何字符过滤，直接输入ip和想要的命令10.3.23.106&ls可以看到有个67191808019239.php文件，直接cat 67191808019239.php查看该文件查询后没反应，可能有无法显示的字符，那就用base64输出把第一段编码解码后得到flag过滤cat本题过滤了cat，可以通过ca\t来绕过最后解码得到flag过滤空格空格可以用以下字符串代替< 、<>、%20(space)、%09(tab)、

出自于ctfhub的一道文件上传题，话不多说，打开靶场如图，出现一下界面，在下方由网页的源码，那么我们重点把源码分析一边前端html的部分我就略过了，主要看后端php的信息通过审计php代码发现，只允许出现zip、jpg、gif、png四种类型的代码，由于没有文件包含，所以上传图片码的方法行不通，既然是白名单，那就使用00截断吧通过上传1.php%00.jpg文件发现，文件上传是上传进去了，但是由发现不论是返回包还是发送包，都没有最终上传的路径，再看看源码其中$dir = ‘upload/’.

Bugku-成绩查询本题主要考点是sql注入，一个很简单的字符型注入，没有屏蔽任何字符使用sqlmap更简单，但是为了熟悉和复习还是决定自己做。解题方法打开环境，如图是一个需要用户输入的文本框，看到题目和文本框，首先就能想到sql注入根据题目要求尝试输入1试试，返回了下面一个页面接下来就要判断它是属于什么类型的注入了，先输入一个 1’ ，发现页面没有返回，再输入1’ #，返回正常页面基本可以确定是字符型注入了，并且一番确认后发现，没有屏蔽任何的字符，所以这题应该就是一道入门的sql字符注入题

Bugku-学院二手市场知识点：文件上传解题过程打开靶场，看到的是一个登录界面刚看到这个登录界面第一想法是post的sql注入。但是想先进去看看，就注册了个账号，登录进去来的这个画面看到这个画面，我是想在发布二手那里地方，上传图片的同时给他上传一个木马文件，于是来到了一下这个画面，发现和我出想的一样，的确可以上传图片，然后我就渐渐地走向了错误地道路有两个上传图片点，经过不断地绕过，第一个上传文件点无法绕过，但第二个上传点成功地把木马文件上传去了，接下来只需要去到打开这个网页就可以了，但

Bugku-web-文件包含解题思路进入靶场 出现click me?点击试试新页面显示index.php,且url上出现?file=show.php?file=XXX.php等是典型的文件包含题目页面显示了index.php,首先在url后面改为?file=index.php看看，发现不能进入这个页面之后就想到文件包含可以使用PHP伪协议，php://filter可以获取指定文件源码。当它与包含函数结合时，php://filter流会被当作php文件执行。所以我们一般对其进行编码，让其