文章分类 - 网安 / xctf-攻防世界
个人借鉴网上个优秀博主自写的ctf解题过程
摘要:题目描述 进入题目场景,发现是一段php代码。 代码审计 1.通过POST方式传入stuff这个参数。 2.定义了一个数组变量array,有admin和user。只有当stuff和array这两个数组完全相等(因为使用全等号 )并且stuff索引为0的的元素不等于admin,才能往下执行,否则就hi
阅读全文
摘要:题目描述 进入题目场景 根据题目描述,后门在设备维护中心,进入后发现没什么特殊的情况 查看网页源码,发现云平台设备维护中心是一个index的超链接。 看到变量传参,有可能存在文件包含漏洞读取源码。 可以使用php伪协议读取源码: 构造payload:http://111.200.241.244:59
阅读全文
摘要:题目描述 进入题目场景,发现一段代码 经过整理后得 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index():
阅读全文
摘要:题目描述 进入题目场景 分别查看可知 由里面的内容知道,flag在flllllllllag文件里面。 访问其文件,发现出现错误 然后尝试用来测试模板注入的语句,发现有些参数被过滤了,即可能存在SSTI漏洞。 获取fllllllllllllag所对应的filehash的值: 'cookie_secre
阅读全文
摘要:题目描述 进入题目场景,知道为模板注入 解题通常有2种解法,手工注入和借助kali里的tqlmap脚本注入 手工注入: 1.测试注入:(有回显说明存在漏洞) payload:http://111.200.241.244:60952/{{1+1}} 2.读取本级目录 payload:http://11
阅读全文
摘要:题目描述 进入题目场景,看见页面只有 可以初步判断这是文件上传的题目,一般这种题型都是构造一句话木马,然后连蚁剑,就可以进到对方的后台了。 一般上传都会有限制文件类型,先看是否为前端,F12进入开发者模式 前端js过滤了,只能上传jpg和png后缀的格式。 将onchange="check()"删除
阅读全文
摘要:题目描述 进入题目场景,看见 审计代码,知道代码定义了一个类,其中有一个魔法方法_wakeup(),_wakeup()会直接退出,并输出" bad requests " 末尾有" ?code= " 看样子是要构造url来绕过_wakeup()这个函数了。 首先_wakeup()方法会在使用函数uns
阅读全文
摘要:题目描述 进入题目场景 从中看见有一处搜索框,搜索新闻初步判定为POST请求。此时我们可以考虑xss或sql注入。 xss注入:页面也是没有返回值,并且根据源码可以看出,js代码是没有被过滤的,但却利用失败,所以这里就不存在xss漏洞。 sql注入:(sqlmap自动和手动注入) 手动注入: 先判断
阅读全文
摘要:题目描述 进入题目场景 发现报表中心有id可以爆破,直接使用burp爆破。 抓包后,将其信息发送至Intruder,然后在进行爆破 因为我们只爆一个参数 id,所以这里选择Siniper即可 这里的Payload type选择number,范围先试一试1-5000,step间隔为1 点击右上角的开始
阅读全文
摘要:题目描述 进入题目场景 按F12进入开发者模式,可以从注释中了解到本题不能用sqlmap,只能考虑手动注入判断。 接着要判断是为数字注入还是字符注入 数字注入:?inject=1 ?inject=1 and 1=1皆可正常回显 字符注入:?inject=1' 报错 ?inject=1' and '1
阅读全文
摘要:题目描述 进入题目场景 对代码进行审核,发现有用get来传参的page,发现strstr函数,它对大小写特别敏感,可以用大写来绕过。 扩展:strstr--查找字符串首次出现的位置,并且直接返回后面的所有字符串。 由于strstr对大小写敏感,用大写PHP进行绕过,即在域名进行传参?page=PHP
阅读全文
摘要:题目描述 进入题目场景 对代码进行分析,基本思路为:对Demo这个类进行序列化,base64加密之后,赋值给var变量进行get传参就行了。 对于类Demo中有三个方法,一个构造,一个析构,还有就是一个魔术方法。 构造函数__construct()在程序执行开始的时候对变量进行赋初值。__ 析构函数
阅读全文
摘要:题目描述 进入题目场景,可以看见“你可以访问浏览吗? 先在域名中输入index.php欲要查看主页面,结果依旧是上述界面,然后可以考虑改后缀名为.phps.然后可以显示以下页面 扩展:phps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到
阅读全文
摘要:进入题目,可以看到 进入题目场景,看到一个坏笑脸 根据常规操作来说,按F12查看网页源码,发现有注释文件 在URL中查看得到 从源码可以看出,还有一个php文件,查看发现 可以知道flag在ffffllllaaaagggg里,重新审核代码,发现mb_strpos()函数,网上了解知道 $whitel
阅读全文
摘要:没有题目描述 点击进入题目场景 漏洞描述: 由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接GetWebShell。 利用system函数远程命令执行 ?s=index/think\app/invokefunction&funct
阅读全文
摘要:题目描述全无。 直接点击进入题目场景 根据提示访问robots.txt(想要了解Robots协议可以看我的相关文章-网络协议) 在URL上输入http://111.200.241.244:64993/robots.txt 在robots.txt文件里我们发现一个 fl0g.php的文件, 猜测这个文
阅读全文
摘要:题目描述的很清楚,说明初始页面出现了问题 进入题目场景后,根据题目描述,首先需要注意URL的内容,果然,访问的页面为1.php 通常来说,我们做web开发,都会给初始的页面命名为index.php 当我们访问后,还是1.php的页面,此时我们打开开发者模式,点击网络查看,发现多出了index.php
阅读全文
摘要:题目描述 点击进入题目场景后,看见一个可以输入的网页,由题目描述可以知道,不管输入什么密码都是错误的,都会返回 可以看见提示,faux password(假密码),所以这时查看一下网页源代码,此时发现在调试器那里有一个Js源码,根据题目提示,简单的Js,说明了这题主要是考查我们对JS代码的审计能力。
阅读全文
摘要:题目主要描述ping(发送)功能里没有waf(防火墙) 命令却没有弄waf时就要想到命令注入。 看到ping命令就可以利用截断来执行新的命令。 首先测试所有的截断符号: ‘$’ ‘;’ ‘|’ ‘-’ ‘(’ ‘)’ ‘反引号’ ‘||’ ‘&&’ ‘&’ ‘}’ ‘{’ '%0a’可以当作空格来用
阅读全文
摘要:该题可以有两种常用的方法作答 进入题目场景可以看见一段小木马,可以用Hackbar工具或中国蚁剑解答 第一种:使用Hackbar插件工具 1.勾选Hackbar插件中的“Post data”,然后构造如下POST请求来查看目录: shell=system('ls'); 构造如下POST请求来查看fl
阅读全文
