摘要:
前言: 上次做了成信大的安询杯第二届CTF比赛,遇到一个tp6的题,给了源码,目的是让通过pop链审计出反序列化漏洞。 这里总结一下tp6的反序列化漏洞的利用。 0x01环境搭建 现在tp新版本的官网不开源了,但是可以用composer构建环境,系统需先安装composer。然后执行命令: comp 阅读全文
摘要:
前言: 官方的poc、exp payload只能获取很低的命令执行权限,甚至有些符号、命令还被过滤了,例如管道符被过滤。并且不能写入、下载文件,不能使用管道符重定向文件。那么我们只能通过获取到交互式shell来执行理想的命令。 0x01影响范围 Apache Solr 5.x - 8.2.0,存在c 阅读全文
摘要:
前言: 做ctf时难免会遇到可以执行莫命令执行函数,但是命令长度被限制,不同的长度限制将采用不同的截断连接方法。 1.15位可控字符下的任意命令执行 如需执行 echo \<?php eval($_GET[1]);?\>>1 echo \<?php >1 echo eval\(>>1 echo \$ 阅读全文
摘要:
前言: 做ctf时常常会遇到一些正则匹配将一些linux命令给过滤掉,这里将总结一些针对性的绕过方式。 一、空格绕过: {cat,flag.txt} cat${IFS}flag.txt cat$IFS$9flag.txt cat<flag.txt cat<>flag.txt kg=$'\x20fla 阅读全文
摘要:
前言: 第一次遇到python模块注入是做ctf的时候,当时并没有搞懂原理所在,看了网上的资料,这里做一个笔记。 flask基础: 先看一段python代码: from flask import flask @app.route('/index/') def hello_word(): return 阅读全文
摘要:
打开url发现有三个链接,点进去都是.pl文件,且只有files可以上传文件。 .pl文件都是用perl编写的网页文件 这里上传了又将文件的内容全部打印出来,那么猜想后台应该用了param()函数。 param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的接收变量中。如果我们传入一个 阅读全文
摘要:
首先管理页面进入到云平台项目管理中心 发现下面可以查看源码,点击view-source: 这个直接就绕过去了 看第二个 第二个需要满足$_SESSION['admin']==true才行,因此看看第三个php 满足这个 isset($_GET[id]) && floatval($_GET[id]) 阅读全文
摘要:
1.序列化与反序列化 php中有两个函数serialize()和unserialize() 序列化serialize(): 当在php中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。测试代码如下; <?php class chybeta 阅读全文
摘要:
前言: 我们在平常打点的时候,遇到有内网或者有域的环境的时候,我们只获得了内网中的一台机子的shell,由这台机子我们可以获得这台机子所在的网段的相关其他主机。比如说有域的时候的域控机,有多层内网的堡垒机等,下面将介绍如何用已控制的内网机拿到域控的方法。 0x00 环境 假如是一个域环境: 域控: 阅读全文
摘要:
一道反序列化题: 打开后给出了一个php类,我们可以控制code值: `unserialize()` 会检查是否存在一个 `__wakeup()` 方法。如果存在,则会先调用 `__wakeup` 方法,预先准备对象需要的资源。 作用:__wakeup() 经常用在反序列化操作中,例如重新建立数据库 阅读全文