Tonight_Fantasy的博客

本文介绍了四种常见的栈溢出利用技术：1. 基本栈溢出：通过覆盖返回地址控制程序执行流，示例演示了如何修改浮点数值获取flag。2. ret2text：劫持控制流返回程序已有的危险函数（如system），实例展示了如何利用后门函数。3. ret2shellcode：将shellcode写入可执行内存区域并跳转执行，案例分析了全局变量溢出的利用方法。4. ret2syscall：通过ROP链调用系统调用，32位和64位的构造方式不同，示例展示了如何调用execve获取shell。每种技术都配有CTF实例和对应的

因为是比较简单的nosql注入，所以我猜测的后台查询语句应该是那么我们可以构造payload为'||true||'拼接到查询参数后面这样整个语句就会变成前半部分'Gifts'||true已经是绝对为真了，后半部分的||''只是为了不让语句出现语法错误拼接payload后成功。

从其名字就可以看出来，它具有表示身份的作用，其本质是将用户信息储存到一串json字符串中再将其编码得到一串tokenJWT由三部分组成，分别是例如：#一大堆加密后的信息（签名）

本关要求我们拿到管理员账号密码登录进去通过题目描述，应该就是sql延时注入先判断是哪种数据库使用payload页面十秒才回显，说明是postgresql数据库因为在postgresql中没有if函数，所以我们需要使用case when因为已经知道密码在表users中，同时根据前面的关卡猜测密码长度为20可以构造payloadend这些响应时间五千多的就是密码拼接完后密码为：5wgrxlabhxxglsfo82yb。

本关需要我们获得Oracle数据库里的数据并登录到管理员回显列数同样为2列虽然题目已经提示了是Oracle数据库，但还是验证一下没问题确实是MySQL数据库与Oracle数据库注入区别查表payload等于查列payload等于查数据都一样使用爆数据库使用payload爆数据表使用payload爆数据列使用payload爆数据使用payload在测试第二个密码my68y5v72tt38ebb1eg4时登录管理员成功。

本关还是需要获得users表内的账户和密码，但是变成了盲注根据提示，这题的注入点在cookie而不是在url上修改cookie的值页面正常再次修改cookie页面也正常回显，但是登录信息没了那么我们就可以根据这个welcome back来判断SQL语句是否为真既然知道了我们的目标列就是users表里的password，那么就直接爆破吧先判断密码长度使用payload在小于20时没有回显welcome back那么密码长度应该就是20爆数据,配合burp里的intruder模块。

这题还是一样的布尔盲注，只不过注入点换了一个，同时变成整数型注入而已判断数据库长度的payload如下1 and length((select database()))=爆破位#点击提交后抓包根据页面长度排序，在payload为4时没有报错爆数据库使用payload1 and (select (substr((select database()),爆破位一,1)))='爆破位二'#

网页提示网站的sql语句是这样找到注入点为url根据给的查询语句构造payload完成题目需要找到未上架商品或者使用payload也可以找到所有商品包括未上架的。

用户在网站A上登录并且网站A也信任用户，此时用户在登录网站A的条件下又去访问网站B，然后网站B向用户发出请求去访问网站A执行脚本，网站A就会认为这个请求是用户发出的，进而执行其恶意脚本。网站给用户提供一个执行命令的入口（比如说一些路由器和防火墙的ping测试框），如果网站没有对用户的输入做限制的话，用户就可以利用其执行一些其它恶意命令达成攻击。服务器禁止一般流量访问，只接收部署的网站来的请求，并且对网站的请求或原ip没有做过滤，黑客就可以通过当前网站。去访问服务器，去请求服务器上的资源，进而达成了攻击。

综合一些参考文章以及这台靶机官方页面的评论，表明这台靶机是有问题的，把mac地址写死了，因此扫描不到它的ip，最终解决成功如下： 首先，kali和靶机的网络都设置为NAT（注意不是自定义中的VMnet8），然后选中靶机的网卡高级设置：将该mac地址修改为`00:0C:29:BC:05:DE`，注意是关机状态下再设置。进一步说明这里是通过文件包含函数包含了文件，那么我们就可以自定义文件名，比如在前面加上../就可访问上一级目录的文件，那么这里就可以拿到网站根目录下的flag了。

该题已经把原码都给我们了，简单说说就是它会把我们上传的文件放到upload目录下的一个名字随机的临时目录，比如同时它会在我们上传时做过滤，只允许zip，jpg，png，gif文件上传，也不允许空文件上传，如果上传的是zip文件会先检测压缩包内是否有php文件，如果有则终止运行，没有就自动解压，然后上传后它会在临时目录里再次进行过滤，只保留jpg，png，gif文件。

发现提示只能上传jpg，png，gif等图片类型文件，以及修改文件头，尝试使用hxd修改成jpg文件头ff d8 ff但是不行，就算直接上传一张正常的图片文件也无法成功上传，于是改成用png的89504e47来尝试上传，经过测试同时也要修改content-type为图片类型才能绕过，上传成功后使用蚁剑连接成功。上传php后缀后复制图片地址发现后缀php被过滤了，于是构造后缀为pphphp来上传，推测中间的php将被过滤，前后拼接成一个新的php后缀，上传成功后发现后缀为php没有问题，使用蚁剑连接成功。

https://a.com/#test该url的意思是访问a网站页面中id=test的内容，这个id不是get请求的参数，而是网站元素的id。https://a.com:8080/page1 和 https://a.com:8080/page2。https://a.com/page1 和 https://a.com:8080/page2。https://a.com/page1 和 https://asd.a.com/page2。两者协议都为https，域名都为a.com，端口都为8080，所以同源。