04 2022 档案
摘要:### 知识点 SQL注入 过程 做题先搜集(扫目录+检查HTTP报文+查看初始页面HTML代码),存在robots.txt。 访问提示的hint.txt得到过滤的关键字列表和需要达成的目标。 可以注意到没有对\进行过滤,空格过滤可以替换为%09,末尾多出的'可以用00阶段,'所以我们可以构造如下
阅读全文
摘要:### 知识点 哈希拓展攻击 session.upload_porgress竞争 过程 做题先搜集(扫目录+检查HTTP报文+查看初始页面HTML代码),初始页面需求输入正确的username和password两个参数。 HTML源码中提示了判断逻辑。 在请求初始页面后可以发现返回包中设置Cook
阅读全文
摘要:### 知识点 参数爆破 SSTI-Flask 过程 做题先搜集(检查HTTP报文+查看初始页面HTML代码),初始页面什么都没有,但是通过参数爆破(凭感觉猜中了name,使用工具的话可以用https://github.com/s0md3v/Arjun)的话可以找到一个可用参数name。 页面各处
阅读全文
摘要:### 知识点 .htaccess文件利用 无字符rce 过程 打开题目就能看到源码,倒也不需要搜集信息了。 很显然需要通过无字符RCE去调用上面的get_the_flag函数(长度限制导致也用不了其他的)。看到这个长度限制,可以考虑构造$_GET[]();的格式来调用,此处[]被过滤可以采用{}
阅读全文
摘要:### 知识点 PHP特性 Linux命令 过程 打开题目就能看到源码,也没必要去搜集了,简单审查下可以发现提供了一个简单的写入php文件的功能,但是对内容进行了过滤。 php标签的php被过滤,可以换用短标签<?= code?>,至于;被过滤并不用单行,因为?>对于一组PHP代码中最后一句起到替
阅读全文
摘要:### 知识点 JSON基础 PHP伪协议 过程 做题先搜集(扫目录+检查HTTP报文+查看初始页面HTML代码),点击初始页面的Source Code链接会跳转query.php并显示源码。 简单来说就是根据我们传入的POST数据作为json解析去读取文件,但是过滤了相关关键字,并对结果也进行过
阅读全文
摘要:### 知识点 文件上传 过程 做题先搜集(扫目录+检查HTTP报文+查看初始页面HTML代码),初始仅页面登录和初测功能可用,成功登录注册后会跳转到profile.php页面(直接访问也行)。 同样直接上传头像以外功能均不可用,尝试直接上传一句话失败。 <?=phpinfo()?> 加个图片的文
阅读全文
摘要:### 知识点 POP链条 phar伪协议 过程 做题先搜集(扫目录+检查HTTP报文+查看初始页面HTML代码),在index.php页面源码中可以见到提示。 此外有file.php用来查看文件,upload_file.php用来上传文件,上传文件可能会存在各种过滤,在不清楚过滤机制的情况下通过
阅读全文
摘要:### 知识点 对Cookie的理解 过程 做题先搜集(扫目录+检查HTTP报文+查看初始页面HTML代码),页面中明示了需要购买Flag Cookie。 明显钱不够,先买个1块钱的看下相关信息。 可以见到Cookie中session内容明显是串base64编码字符,解码后获得如下内容。 同理处理
阅读全文
摘要:### 知识点 Python-Flask框架审计 Linux特殊文件 过程 做题先搜集(检查HTTP报文+查看初始页面HTML代码),尝试在输入框中填入数据提交,可以注意到参数名叫url。 尝试输入一个url(本题环境用的是python的urllib,所以只填一个域名是不行),执行结果以文件形式返
阅读全文
