企业官网建设流程全解析

百度搜索网站的图片,中航网站建设,上海推广系统,小学毕业个人主页设计1. 简单Rce看到题目代码过滤了一些关键字符cat tac 和system都被过滤了#xff0c;不能再去使用。但是可以利用vi命令进行读取flag执行外部命令函数#xff1a;system()、passthru()、exec()2. seek flag进入题目找找flag。在cookie中将id改成1#xff0c;得到了第一段flag在…1. 简单Rce看到题目代码过滤了一些关键字符cat tac 和system都被过滤了不能再去使用。但是可以利用vi命令进行读取flag执行外部命令函数system()、passthru()、exec()2. seek flag进入题目找找flag。在cookie中将id改成1得到了第一段flag在其get请求包中看到第二段flagdirsearch进行目录扫描看到有一个robots.txt访问后得到第三段flag3. jwt进入是一个登录界面先登录再注册进入主页后并未得到有用信息抓包后看到一个hintflag-is-admin-password得知username为admin先注册一个新用户注册成功就去登录抓包看到JWT拿去解密需要对称密钥在kali中利用jwt-cracker进行爆破解密解密后得知其密钥为SASY./jwtcrack进行解密将jwt中的代码解码然后更换username和对称密钥然后再进行编码将重新编码后的代码进行更换发包得到falg4. $$$GLOBALS用于访问所有全局变量(来自全局范围的变量),即可以从PHP脚本中的任何范围访问的变量。5. XFF抓包修改X-Farded-For:1.1.1.1,然后发送看到flag6. GET-POST先传id再传post7. 被黑掉的站在页面中并无得到有用信息在kali中利用dirsearch -u 网址扫描出两个成功发送的包index.php.bak shell.php访问index.php.bak得到一个像是密码字典的文件访问shell.php看到一个登录框和前面给的刚好呼应上了利用bp进行弱口令爆破完成后得到登陆密码nikel,登录后成功得到flag8. rce1?ip127.0.0.1|ls空格被过滤了用${IFS}进行绕过?id127.0.0.1|cat${IFS}fllllaaag.php查看网页源代码得到flag9. 签到题发现提交按钮不可以提交然后修改前端的提交值随便输入123然后提示提交ilovejljcxy就可以得到flag再次修改然后输入ilovejljcxy发现有字数限制再修改字数限制最后得到flag10. upload查看网页源代码看到?actionshow_code访问后看到php等许多文件后缀被过滤了选择一句话木马图片上传利用bp抓包将文件后缀名利用双写绕过改成php后缀发送请求成功更换利用蚁剑进行连接成功看到flag11. 机器人利用Kali中dirsearch进行扫描查到了一个/robots.txt文件访问后看到flag但发现只有一半尝试提交果然不对Disallow是一个目录尝试访问但访问不了利用dirsearch扫描看到了/27f5e15b6af3223f1176293cd015771d/flag.php文件访问后看到flag后半段前后两段拼在一起得到flag12. 干正则参数为id包含flag.php文件flag .php 被过滤pyload?ida[0]www.polarctf.comcmd|ls;pyload?ida[0]www.polarctf.comcmd|cat ls; 查看源代码后看到flag13. 覆盖代码说用GET传参(id)需要a[0]www.polarctf.com$ip $_get[cmd] 获取名为cmd的 GET 参数值并赋给变量$ip?ida[0]www.polarctf.comcmd;cat fla*14. debudao查看网页源代码看到一个flag提交后是错误的最后在cookie中找到真的flag15. 审计在url中输入?xxs240610708md50e绕过16. 井字棋在控制台中输入declareWinner(您赢了)然后弹窗弹出flag17. button出现一个“点击我的按钮但是并不能点击到查看了一下网页源代码看到一个js文件说要点击好多9999次很显然这是不可能的看到下面看有一个方法查看 flag访问proxy.php?fileflag,访问后是空白页面查看网页源代码看到flag18. 来个弹窗利用scriptalert(xss)/script正常提交但并没有显示可能被过滤了利用双写绕过scriptalert(xss)/sscript攻击成功得到一副图片说flag就是该人物名称MD5加密上网查找后用MD5加密得到flag19. php very nicephp反序列化当PHP脚本执行完毕或对象被销毁时_destruct() 自动执行如果$sys是恶意代码就会被执行构造php代码设置要执行的系统命令创建Example对象序列化对象并输出payload?aO:7:Example:1:{s:3:sys;s:13:system(ls);;}出现两个目录利用php伪协议读取一下?payloadO:7:Example:1:{s:3:sys;s:69:include(php://filter/readconvert.base64-encode/resourceflag.php);;}解码得到flag20. 狗黑子的RCE过滤了很多命令和符号有两个参数gouheizi1和gouheizi2原始输入中的 gouheizi 会被移除如果 POST gouheizi2ggouheiziouheizihi处理后变成 ghi不等于 gouheizi要使处理后等于 gouheizi原始输入必须是 gouheizi因为移除 gouheizi 后为空或其他包含 gouheizi 的组合payload如下过滤字符用l\s进行过滤执行后再根目录下看到flag.php查看php文件c\at /fl\ag.php21. 命运石之门登录框α线随便试试不行还看不到验证码查看网页源代码得到一串编码解码说验证码是否好使不重要目录扫描扫到个password.txt文件这就应该是爆破了然后爆破出密码是hunangleiSAMA0712成功到达第二个β线接着爆破得到密码huan9le1Sam0得到flag22. rce命令执行系统尝试输入命令但貌似都被过滤了都不能进行正常的输出看看环境变量是否可以输出尝试输入env能成功输出看到有flag但是它是个假的进行目录扫描扫到一个flag.txt文件访问看到了提示txt phpl 1这像是让我们将文件名称进行改变一下改变一下进行访问得到另一个提示要给XOR_KEY进行传参?XOR_KEYPolar成功执行得到真正的flag23. uploader?php $sandBox md5($_SERVER[REMOTE_ADDR]);//生成专属目录名获取访问者的IP地址并用MD5加密 if(!is_dir($sandBox)){ mkdir($sandBox,0755,true);//要创建的目录名目录权限0755true表示允许递归创建 if($_FILES){//判断是否上传文件 move_uploaded_file($_FILES[file][tmp_name],$sandBox./.$_FILES[file][name])// $_FILES[file][tmp_name]PHP自动保存的上传文件临时路径 echo 上传文件名: . $_FILES[file][name] . br; echo 文件类型: . $_FILES[file][type] . br; echo 文件大小: . ($_FILES[file][size] / 1024) . kBbr; echo $sandBox; } highlight_file(__FILE__);$sandBox./.$_FILES[file][name]目标路径专属目录 原文件名这个很重要只给出了上传的代码没有上传的方式需要自己写一个上传的html页面上传一句话木马的php文件之后进行访问记得加上专属目录名用md5加密的访问者的IP地址。然后进行命令执行!DOCTYPE html html body form actionhttp://70c5aad8-a20c-4181-80c0-8bd102f6233c.www.polarctf.com:8090/ enctypemultipart/form-data methodpost input namefile typefile / input typesubmit typesubmit / /form /body /html24. bllbl_ser1题目给了一串反序列化代码?php class bllbl { public $qiang;//我的强 function __destruct(){ $this-bllliang(); } function bllliang(){ $this-qiang-close(); } } class bllnbnl{ public $er;//我的儿 function close(){ eval($this-er); } } if(isset($_GET[blljl])){ $user_dataunserialize($_GET[blljl]); } ?一共就两个类构造一下代码?php class bllbl{ public $qiang; } class bllnbnl{ public $er; } $anew bllbl(); $bnew bllnbnl(); $a-qiang$b; $b-ersystem(ls /);; echo serialize($a); ?25. 1ncIud3在该题目中当你传入../时会将其转换成空当 PHP 把这个路径传给操作系统时系统会按上面的规则规范化最终变成 ../../test.php实现了目录穿越。PHP 拼接路径后传给系统系统规范化路径传入的内容就会变成../../../../f1a9从而成功读取26. 投喂27. 简单的导航站网页源代码中得到密码注册登陆下产看用户列表有代码用数组进行绕过得到用户名字符串需要爆破在文件管理中的登录框进行爆破得到账号为P0la2adm1n登陆进去是一个上传页面没有过滤直接上传php的木马文件然后蚁剑进行连接上传路径为/uploads/上传的文件名看到很多flag在flag验证框中进行flag验证爆破28. backgroundd和p一个表示执行的命令一个表示执行的语句然后是要用POST方法去获取change_background.php文件payloaddcatp/flag29. 俄罗斯方块要是直接玩也是可以的就是耗时太久了直接在控制台进行分数修改让score10然后玩一把就可以得到提示但是这个提示就是一串文字又查看js代码看到有一个获取文件get_squirrt1e.php访问后就可以得到flag30. 代码审计easy?php $page hello.php; if (isset($_GET[page])) { $page $_GET[page]; } $base_dir __DIR__ . /pages/; $target $base_dir . $page; if (preg_match(/https?:\/\//i, $page)) { echo 远程 URL 不允许呦。; exit; } if (file_exists($target)) { $content file_get_contents($target); echo pre . htmlspecialchars($content, ENT_QUOTES|ENT_SUBSTITUTE, UTF-8) . /pre; } else { if (file_exists($page)) { $content file_get_contents($page); echo pre . htmlspecialchars($content, ENT_QUOTES|ENT_SUBSTITUTE, UTF-8) . /pre; } else { echo No! . htmlspecialchars($page); } }这题flag在根目录31. VIP抓包修改vipStatus的值no修改成yes32. white是一个命令执行的界面ls pwd whoami date echo base64 sh命令包含不允许的内容匹配模式: /[;$\\?*[\]{}()#!%]/禁止危险函数如 system、eval、tac、cat 等命令包含不允许的内容匹配模式: /\b(etc|proc|dev|bin|sbin|usr|home|flag)\b/i在过滤的命令中没有过滤管道符|这是可以利用的一个点。管道符拼接echo bHM 输出字符串 bHM这是 ls 的 Base64 编码结果base64 -d 对输入的 Base64 字符串解码bHM 解码后得到 lssh 调用 Shell 执行输入的命令即执行 ls列出当前目录文件也可以用反斜杠\来进行绕过flag关键字的过滤33. help直接查找js文件就可以了34. cookie欺骗2.0登录成功然后抓包修改user发包认证失败。那可能后面的值也要修改hfrel拿去解码发现时rot13加密结果是user1。同样将admin进行rot13加密替换上去发包得到flag