whale_waves的博客

模板引擎是为了让用户界面以及业务数据分离开才产生的，模板引擎会生成特定的文档，然后通过模板引擎生成前端html代码，然后再获取用户数据再放到渲染函数里渲染，最后将生成的html代码个渲染好的数据结合拿给浏览器呈现给用户。

ssrf产生原理：服务端存在网络请求功能/函数，例如：file_get_contens()这一类类似于curl这种函数传入的参数用户是可控的没有对用户输入做过滤导致的ssrf漏洞ssrf利用:用于探测内网服务以及端口探针存活主机以及开放服务探针是否存在redis服务(未授权访问, 相当于是可以访问到redis服务并且开发人员不严谨没有设置密码, 因为默认是没有密码的, 或者说开发者设置了密码但是是弱口令), 利用定时任务反弹shell

JSON Web Token（JWT）通常由三部分组成简单地说jwt就是一串字符串，类似于序列化这种，把用户的信息保存在字符串里JWT全称是，如果从字面上理解感觉是基于JSON格式用于网络传输的令牌。实际上，JWT是一种紧凑的Claims声明格式，旨在用于空间受限的环境进行传输，常见的场景如HTTP授权请求头参数和URI查询参数。JWT会把Claims转换成JSON格式，而这个JSON内容将会应用为JWS结构的有效载荷或者应用为JWE结构的（加密处理后的）原始字符串，通过消息认证码（或者简称MAC。

这里简单对xss做一个了解：xss分为反射型和储存型反射型：一般是由攻击者选择攻击对象，对攻击对象发一个带有xss窃取cookie的页面的url，被攻击者点击就会动过document.cookie将用户信息一并发送给攻击方的服务器。反射型XSS一般发生在浏览器，当受害者访问含有XSS代码的页面时浏览器解析并执行XSS代码造成信息泄露。存储型：攻击方将恶意代码插入在存在漏洞的网站上，任何访问网站的人都会遭到攻击，比起反射型xss，存储型xss危害更大，范围更广。

例如：原理，flag是十六进制的，最大到f所以可以用后面的英文来替换。利用into outfile来将查询到的表的内容写入到服务器的文件里。但这种情况一般需要知道web的地址例如/var/www/html/再利用python或者其他或者人工逆向替换回来。

CVE-2019-11043漏洞是PHP的一个远程代码执行漏洞，该漏洞产生与Nginx利用fastcgi_split_path_info在处理带有 %0a 的请求时，会因为遇到换行符（%0a）导致PATH_INFO为空，最终可导致任意代码执行。头指定的地址）并通过dbgp协议与其通信，我们通过dbgp中提供的eval方法即可在目标服务器上执行任意PHP代码。x+-oProxyCommand=echo 'base64编码后的命令'|base64 -d|sh}漏洞名称：PHP-CGI远程代码执行漏洞。

例如$a = 1 $b = 2, 这时让$b = &$a, 再给$a 重新赋个值 $a = 3, 这个时候$b就会一直跟着$a变化, $a是什么$b就是什么。利用php处理畸形的序列化的处理措施, 当php收到畸形的序列化时, 会因为对此序列化的不放心, 会第一时间处理掉它, 所以能直接让处理他的顺序排在了最前面。这时, 如果传入一个|O:5:"Class"类似于这样的序列化, php就会自动把|前面的当作键名用, 反而会反序列化|后的值。

在dao.php文件找到了当最后销毁序列化时调用close(__destruct魔法函数), 这里就要用到__construct魔法函数, 当执行new实例化的时候就会调用, 一会儿再去找哪里实例化了dao这个类, 将$this->config=new config()修改为$this->conn->=apt()这里$this->config->cache_dir指向了config类里的cache_dir变量, 刚好又是个public公共便变量可以修改。这里的'问好'像下面一样加密一下。

这里利用.user.ini文件，只要访问同目录下的php文件就能把目标png文件当作php文件加载。可以直接写payload获得flag，不用在继续$_POST之类的。自行搜索绕过一下其他的和153题无异。这里就关系到了网站中间件的设置问题。使用GIF89a在文件最上方添加。但是会验证图片头信息。

原理：当md5函数加密数组时会报错NULL，当两a和b同时都是数组时，md5(a)===md5(b)等于NULL===NULL。如果b=0那么会自己去判断a是什么进制，例如a=0x开头则是18进制，0开头则是8进制，也可以直接设置b=10进制之类的。把数组的键值和键名当作变量名和变量值，例如a[b]=c那么extract(a[b]) b=c。把数组的键值和键名当作变量名和变量值，例如a[b]=c那么extract(a[b]) b=c。

原：file=php://filter/write=convert.base64-decode/resource=a.php。url转换两次后：####浏览器会先自动url解码一次，第二次则是urldecode。原content=

${PWD::${##}}???${PWD::${##}}?${USER:~A}?$IFS????.???####我的环境$USER是root，ctfshow的不是所以这里是正常的

php探针是用php语言编写的一个程序，可以用来查看服务器的状态，比如服务器操作系统信息，服务器CPU、内存和硬盘的使用状况，php版本和组件信息，数据库版本信息，实时网速等。可以非常方便地了解服务器的运行状态雅黑php探针：url/tz.php可将这些写入目录扫描使用的字典里，可以跟方便的扫东西。

这一题很像是版本漏洞，通过看提示从php4.2.0开始就不用mt_scrand(seed)来播种，会自动播种，如果设置了mt_scrand(seed)并且seed有值，那就会生成伪随机数（俗称假的随机数），生成的数字就会固定。首先呢，他会验证这中间部分是否日期，如果长度或者大小都不正确的话，会直接弹窗且不发包，这里我直接用bp爆破模式添加了三个放payload的位置。这里有和24题一样的漏洞，使用了mt_srand()播种就会生成特定的随机值，这里我们需要传入同样的随机值让rand的变量为零才能进入if。

###重新整理后将每一篇重新发布，一篇里发太多了，不好梳理也很卡。####可以关注我的ctfshow专栏，已经全部转到那里了。

call_user_func函数类似于一种特别的调用函数的方法，它可以调用php内部函数也可以调用用户自定定义的函数。这里我的思路是通过反序列化传入参数绕过网站对func的防护，通过反序列化后执行system函数。call_user_func()这里似乎是利用的这个函数然后执行用户输入的然后去调用内部函数。####这里其实可以通过一个php的特性绕过直接执行命令，但是还是先按着作者的想法来做。随便输了几个函数，他这里就报出了call_user_func()func传输函数，而p则是传输参数的内容。