攻防世界 高手进阶区-WEB

原创 已于 2026-01-23 15:30:55 修改 · 553 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#前端
于 2022-06-27 17:27:15 首次发布
本文探讨了PHP编程中的高级技巧,包括模板注入、远程代码执行(RCE)漏洞利用和SQL注入案例,以及如何通过Web编程来解决和防御这些问题。涉及的主题有PHP2005、Web模板、PHP序列化、PHP RCE漏洞修复、文件包含漏洞和SupersQLi攻击防护。

攻防世界 高手进阶区-WEB

001 baby_web

题目描述:想想初始页面是哪个
flag{very_baby_web}
在这里插入图片描述

  • 访问题目场景地址
  • 网站页面为1.php

在这里插入图片描述

  • 访问index.php

index在互联网上表示网站的默认主页。
一般为 index.html index.htm index.asp index.php

在这里插入图片描述

002 ics-06

题目描述:云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。
cyberpeace{0b182d184cb38edde89558d6641d8495}

  • 页面只有报表中心可以点击

在这里插入图片描述
在这里插入图片描述

  • 抓包
  • 爆破id
    在这里插入图片描述

003 Training-WWW-Robots

cyberpeace{06f2f9e54285abb764f13a78ca8ecc39}
在这里插入图片描述

  • 访问在线网站

在这里插入图片描述

  • 在线翻译一下

在这个小小的培训挑战中,您将了解Robots_Exclusion_Standard。
网络爬虫使用robots.txt文件检查是否允许他们抓取和索引您的网站或只允许部分内容。
有时,这些文件会暴露目录结构,而不是保护内容不被抓取。 好好享受吧!

在这里插入图片描述
在这里插入图片描述

004 PHP2

cyberpeace{23f0d251c1af2f4b234bc4d8002abc94}

在这里插入图片描述

  • 查看页面源码和HTTP报文都没得到用的信息。尝试访问index.php,网站也没反应。

phps文件就是php的源代码文件,通常用于提供给用户(访问者)直接通过Web浏览器查看php代码的内容。
因为用户无法直接通过Web浏览器“看到”php文件的内容,所以需要用phps文件代替。

在这里插入图片描述

005 Web_python_template_injection

ctf{f22b6844-5169-4054-b2a0-d95b9361cb57}

在这里插入图片描述

  • 题目为Python模块注入
  • 执行命令 …/{{7+7}}

在这里插入图片描述

  • 说明服务器执行了{{}}里面这一段代码

  • 读取flag

%7B%7B''.__class__.__mro__[2].__subclasses__()[40]('fl4g').read()%7D%7D

在这里插入图片描述

006 Web_php_unserialize

在这里插入图片描述

007 php_rce

flag{thinkphp5_rce}

在这里插入图片描述

  • 题目php_rce
  • RCE:远程代码执行漏洞
  • ThinkPHP 5.0<5.0.23&5.1<5.1.31版本在没有开启强制路由的情况下可能存在远程代码执行漏洞。攻击者通过该漏洞可能完全控制Web服务器。

thinkphp漏洞
https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection

在这里插入图片描述

在这里插入图片描述

008 Web_php_include

在这里插入图片描述

其中含有两个参数:

hello参数中的内容会被输出到页面

page参数中的内容则会被进行文件包含,但是会对php://进行过滤

两个函数:

strstr(string,search[,before_search]):strstr() 函数搜索字符串(search)在另一字符串(string)中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE。区分大小写,stristr()函数不区分大小写。
string:必需。规定被搜索的字符串。
search:必需。规定要搜索的字符串。如果该参数是数字,则搜索匹配该数字对应的 ASCII 值的字符。
before_search:可选。一个默认值为 “false” 的布尔值。如果设置为 “true”,它将返回 search 参数第一次出现之前的字符串部分。

str_replace(find,replace,string,count):这个函数是用来替换字符串的
find:要查的字符串。
string:原始字符串

绕过方式:

使用大小写绕过的方式:PhP://
这里我们使用伪协议phP://input

php://input是个可以访问请求的原始数据的只读流。可以读取post提交的数据
我们在post提交的内容中写入命令执行(反引号)的php代码:

009 supersqli

在这里插入图片描述
在这里插入图片描述
字段判断
查询

1’ order by 1 #

1’ order by 2 #

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
说明SQL语句的字段为2

爆表
联合查询
试着基础的查询

-1’ union select 1,databases #

在这里插入图片描述
字符串匹配函数
说明过滤了括号中的关键字,包括我们要用的selecte

在这里插入图片描述
先看看supersqli这个数据库

-1’;use supersqli;show tables;#

在这里插入图片描述
查看表

-1’;use supersqli;show columns from 1919810931114514;#

当纯数字字符串是表名的时候需要加反引号`

在这里插入图片描述
字段查询
handler查询法
https://www.jb51.net/article/88732.htm

查询

-1’;use supersqli;handler 1919810931114514 open as p;handler p read first;#

在这里插入图片描述

攻防世界web进阶comment详解
hxhxhxhxx的博客
08-11 1807
攻防世界web进阶comment详解题目详解cp:.DS_Store 题目 详解 只要我们输入任何一个评论,他就会让我们进行登录, 我们可以通过他的文字提示,发现少了三位,一般我们都会上数字 我们发现他666的时候有一个302的跳转 登录以后,感觉也没有什么可以注入的 正常也没有回显,这时候,我们的御剑传来了好消息 有个.git,应该是git源码泄露。使用githack 下载源代码。 <?php include "mysql.php"; session_start(); if($_SESS
攻防世界web进阶NewsCenter详解
hxhxhxhxx的博客
07-16 3972
攻防世界web进阶NewsCenter详解题目方法一sqlmap注入方法二手工注入 题目 我们输入搜索,很明显是一个注入 方法一sqlmap注入 抓到包之后,存到txt文件中, -r获取文件 然后发现可以注入 接着我们–dump直接获取到flag(比较暴力) 方法二手工注入 前引号为了闭合之前的语句,后面的#为了注释后面的引号 否则都会报错 我们使用orderby 查询有几列 当我们写三时发现可以正常查询,4就不行了 发现有一些前缀的文章,那么我们使用一些垃圾话将他查询失效 2和
http://www.jb51.net/article/84149.htm
wizardlun的专栏
05-24 3370
三步骤轻松实现Oracle取消用户连续登录失败次数限制,用户连续登录失败次数最大限制时,Oracle就会锁定该用户,如何破解这个限制,下面为大家介绍,感兴趣的小伙伴们可以参考一下 当用户连续登录失败次数过多时,Oracle会锁定该用户,“FAILED_LOGIN_ATTEMPTS”用于设置最大次数,超过该值则锁定该帐号。 要取消用户连续登录失败次数的限制可以按照以下方法操作
一、Docker
swd918的博客
01-04 3604
docker基础
mysql+自动备份权限_CentOS mysql web定时备份删除脚本与权限
weixin_31972679的博客
02-02 341
一、backup.sh脚本#/bin/bashmysqldump --user=root --password='' --databases abc | gzip > /Back/www.dejaview.cn-`date +%Y%m%d%H%M`.sql.gztar czf abc.com-`date +%Y%m%d%H%M`.tar.gz /usr/local/nginx/html/ab...
攻防世界web进阶easytornado详解
hxhxhxhxx的博客
07-21 4367
攻防世界web进阶easytornado详解题目详解 题目 提示:tornado框架 flag in /fllllllllllllag md5(cookie_secret+md5(filename)) 详解 首先我们知道了,flag在==/fllllllllllllag==里面 那么我们尝试直接输入 访问出现error 我们发现msg是可以进行更改的 那么我们进行ttsi模板注入检测,并没有发现可以使用的 (使用tplmap) /error?msg={{handler.settings}}
攻防世界web进阶Zhuanxv详解
hxhxhxhxx的博客
08-13 1989
攻防世界web进阶Zhuanxv详解题目提示:详解 题目 提示: 详解 扫描目录发现了一个list 我们使用了好几个扫描工具,只有wwwscan,和webdirscan可以,(可能是我字典太菜了) 发现需要登录 查看源代码发现,这里有问题,加载图片的方式很诡异 试试文件读取 他的cookie里有jessionid 说明他是使用JAVA写的网页 那么我们尝试找找web.xml strust ...
攻防世界web进阶supersqli
gongjingege的博客
07-25 2013
打开链接,初步判断应该是sql注入 顺便查看一下源代码,发现sqlmap没有灵魂,估计应该不让用,得手工注入 先1’,报错 再–+,发现被正则过滤,大小写也不行 看了看大佬的wp,堆叠注入(呜,新名词。。。) inject=1’;show databases;# inject=1’;show tables;# 看一下这几个表 1’;show columns from words;# 1’;show columns from 1919810931114514;# (字符串为表名操作时要加反
攻防世界web进阶web2详解
hxhxhxhxx的博客
07-31 3748
攻防世界web进阶web2详解题目解法strrev函数substrordchr()str_rot13() 题目 解法 <?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); // echo $_o; for($_0=0;$_0<strlen($_o);$_0++){
攻防世界 web高手进阶 7分题Confusion1
闵行小鱼塘
10-11 3387
继续ctf的旅程,开始攻防世界web高手进阶的7分题,本文是Confusion1的writeup
攻防世界web进阶Cat详解
hxhxhxhxx的博客
08-07 1846
攻防世界web进阶Cat详解题目详解 题目 但是我们输入一个链接的时候发现没有回显 这是我们访问loli.club的页面 我们输入ip地址,发现有回显 详解 至此,我们猜测是一个代码执行的考点 我们尝试 127.0.0.1||ls 127.0.0.1&&ls 127.0.0.1|ls 均被过滤 我们发现他的url处存在编码,url编码我们进行尝试 发现,url编码为%80时报错, 因为ASCII码的编码范围0-127 %80相当于128 所以推断是由unicode解码失败导致的,
攻防世界web进阶warmup详解
hxhxhxhxx的博客
07-16 2757
攻防世界web进阶warmup详解题目解法函数 题目 查看源码发现source.php 我们直接访问 发现hint.php 我们再访问 解法 flag not here, and flag in ffffllllaaaagggg 这里提示我们flag在ffffllllaaaagggg里面 那么我们去看看source.php 直接定义了一个类,他将file的值传入了page的参数中, file中必须含有白名单内的两个,source.php 和hint.php 否则的话会false,check fil
攻防世界-web高手进阶
zji
04-25 7435
文章目录攻防世界-web高手进阶一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
攻防世界web进阶shrine详解
hxhxhxhxx的博客
07-30 3766
攻防世界web进阶shrine详解题目详解 题目 很明显给了一堆代码,我们将它整理一下 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read()\ @app.route('/shrine/') def shrine(shrine):
攻防世界web进阶bug
gongjingege的博客
08-07 379
打开靶场,出现登录框,SQL注入无果,老老实实注册 注册成功,登录 点击manage,显示要admin管理员 考虑在findpwd里先修改自己的账号,bp抓包,改掉admin的密码 bp抓包 username改成admin,密码随便 可以看到修改成功 管理员新密码登录 再次点击manage emmmm继续改 bp抓包,X-Forwarded-For:127.0.0.1 这个时候从源代码里看到,又给了个新的路径,do=??? filename想到增删改查,多试几次,是upload 上传文件,是一句话
攻防世界 web高手进阶 7分题 comment
闵行小鱼塘
08-11 1053
继续ctf的旅程,攻防世界web高手进阶的7分题,本文是comment的writeup
攻防世界web进阶全讲解(超详细的哇)!!(持续更新)
wo41ge的博客
10-13 2772
进入题目链接 有登录 就可能有注册界面 url栏register.php 或者直接上御剑扫一下 同样发现注册界面 注册成功后 进行登录 跳转到了这个界面
攻防世界web高手进阶upload1
hxhxhxhxx的博客
07-05 731
攻防世界web高手进阶upload1题目教程 题目 !Doctype html> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <script type="text/javascript"> Array.prototype.contains = function (obj) { var i = this.len
攻防世界web进阶baby_web
gongjingege的博客
07-07 1285
攻防世界web进阶baby_web 2020.7.6 公瑾 题目描述:想想初始页面是哪个 初始页面指index,在地址栏修改1.php改为index.php,发现还是hello world 这时候可以用firefox自带的开发者选项 发现index.php的文件,在消息头发现了flag 或者用burp suite抓包 将信息右键发给repeater 将请求头改为index.php, go, 右边响应发现了隐藏的flag 参考文章:https://blog.csdn.net/zouchengzhi
攻防世界-web进阶
楼阁de猫的博客
10-30 1183
目录baby_webTraining-WWW-Robots baby_web 题目描述:想想初始页面是哪个 打开链接看到这个界面 这里有两种解法 法一:我们输入index.php ,就会立即跳转到1.php 那我们就对index.php抓包看看 在请求头看到flag:flag{very_baby_web} 法二:题目提示说初始界面,但是url后面会自动跳转到1.php,我们可以在控制台找到初始界面, 按F12进入控制台点开原始的网址就可以看到 Training-WWW-Robots 打开链接是这样一个
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值