shao65308的专栏

2、利用data协议生成shell文件，提交前生成进行url编码，=号可去掉。1、利用data协议直接读flag。知识点：PHP伪协议，文件包含。知识点：ssti，八进制绕过。

python hash_ext_attack.pypython3 flask_session_cookie_manager3.py encode -s 'Th1s_is_5ecr3t_k3y' -t "{'msg': b'student\x80\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xb8

命令拼接，过滤了很多字符，最后通过 |tac$IFS`dir` 读出目录中文件内容，查看源码有flag。

思路就是可以通过glob://协议利用匹配符号进行猜解， glob协议能够查找匹配的文件路径模式，当目标匹配不存在时会返回⻓度为0的数组，因此在这个地方能够通过不同的回显进行盲注，利用脚本和通配符逐个猜解，若正常页面会显示“Kurokawa Akane”，接着爆下一个，直到找到正确文件名。POP链很简单：Hoshino::__destruct（调用Idol类中不存在的方法）=>Idol::__call。其中通过修改属性绕过 __wakeup。

题目源码：index.phpwaf.php，暂时未知，后面传马了可以看到，先通地fuzz看过虑了哪些数字、字母过滤了，取反也过滤了，那么就用异或^来构造个phpinfo();看下信息?成功执行，这两个地方需要突破open_basedir只允许网站根目录和/tmpdisable_fuctions函数禁用比较多file_put_contents函数没有禁用，可以通过构造这个函数写马?>");成功写马cmd.php，用蚁剑连接，https://改成http://才能连接成功。

修改为：{'is_admin': True, 'name': 'admin', 'user_id': 1}生成所有可能的secre_key文件。爆破是用了哪个secre_key。把生成的字符串替换Cookie值。

为什么要这样改，原因分析：在php中变量名只有数字字母下划线，被get或者post传入的变量名，如果含有空格、+、.、[则会被转化为_，但php中有个特性就是如果传入[，它被转化为_之后，后面的字符就会被保留下来不会被替换。POST传参读取文件：c=SplFileObject&n=/flag，或者：c=SplFileObject&n=php://filter/read=convert.base64-encode/resource=/flag。最后的python代码，里面有解释。主要考察原生类反序列化应用。

diao_s.i ==》diao_s_i（也就是PHP网页用diao_s_i可以正常接收diao_s.i传递过来的值，中间会有个自动转换的过程。在php中变量名只有数字字母下划线，被get或者post传入的变量名，如果含有空格、+、.、[则会被转化为_，但。如果传递的参数变量名中含有非法字符点。按理说构造这咱变量名不规范，要避免。php中有个特性就是如果传入[，它被转化为_之后，后面的字符就会被保留下来不会被替换。diao[s.i ==> diao_s.i，利上面的[经过一次转换后可以正常接收。

客户端接收到Type2消息后，使用用户的NTLM Hash对Challenge进行加密得到Net-NTLM Hash(不能直接用来进行PTH，但可以通过暴力破解来获取明文密码)，封装到Type3 消息中，发给服务端.服务端接收到Type3消息后，用自己的密码对NTLM-Hash对Challenge进行加密，并比较自己计算出的Net NTLM Hash与客户端发送的是否匹配，如果匹配则认证成功，否则认证失败.首先客户端向服务端发送Type1消息去协商需要认证的主体，用户，机器以及需要使用安全服务等信息.

用010editor打开，修改压缩文件加密标志位为00，保存后就没有密码了。如果不能识别把 / 替换成空格。