摘要:萌新模块关这一关是代码执行漏洞需要灵活的运用的命令执行函数在上一关的基础上又过滤了关键字看起来已经没啥思路了但仔细一看它居然取消了对分号的过滤这样一来就好办了继续上一关的曲线救国思路先请求传递一句话木马再用请求传递系统命令即可拿到进入页面
ctf.show 萌新模块 web15关, 这一关是代码执行漏洞, 需要灵活的运用PHP的命令执行函数, 在上一关的基础上又过滤了 = ? > 关键字, 看起来已经没啥思路了, 但仔细一看, 它居然取消了对分号;的过滤, 这样一来就好办了, 继续上一关的曲线救国思路, 先GET请求传递一句话木马, 再用POST请求传递系统命令, 即可拿到 flag
进入页面后, 可以看到部分源码, 源码中提示 flag 就藏在 config.php 文件中
源码中通过GET请求获取参数, 并过滤了参数中的 system * ? < > = exec highlight cat ( . file php config 等关键字, 过滤之后就可以使用 eval()函数执行PHP代码了
1.由于过滤了左括号(, 函数不能使用, 需要使用反引号``来执行系统命令
2.过滤了 . php config 等关键字, 这就导致查看 config.php 文件会更加困难, 但这些过滤只针对GET请求的参数, 而POST请求并未限制, 我们可以通过POST请求提交系统命令
首先在url地址栏输入以下payload, 通过GET请求传递一句话木马
/?c=echo `$_POST[a]`;
使用代理工具( Burp Suite)拦截请求, 修改请求内容, 利用POST请求的参数传递系统命令
请求头
Content-Type: application/x-www-form-urlencoded
请求体
a=cat config.php
提交请求后, 页面啥也不显示, 但也没报错, 不用担心, 这很正常
右键查看网页源码即可获取 falg
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/119935.html
摘要:萌新模块关此关卡是一个代码执行漏洞重点在于命令执行函数的利用方式源码中过滤比较严格尤其是过滤了分号之后虽然可以用来代替分号但这样一来就只能执行一行代码难度较大需要注意的是源码中的过滤只针对请求的参数而未对请求的参数做限制这里推荐曲线救国请 ctf.show 萌新模块 web14关, 此关...
摘要:萌新模块关,此关卡使用函数强制将参数转换成数值型,可以使用字符绕过,配合特殊符号控制的查询结果,从而获取,这一关过滤了,我们可以使用加号,减号,乘号,除号,或,左移等方式绕过页面中给出了源码,并提示我们时,即可获取这里有两个关键点,首先是 ctf.show 萌新模块 web2关,此关卡...
摘要:萌新模块关,此关卡考察的是函数的特性,以及注入漏洞的利用首先需要利用转换字符串的特性绕过校验,而后利用联合注入获取数据库中的敏感信息,从而获取,源码中过滤了,加减乘除,,等关键字,这里推荐使用联合注入页面中给出了源码,并提示我们时,就可 ctf.show 萌新模块 web3关,此关卡考察...
摘要:萌新模块的关这一关考察的是函数转换字符串时的特性以及的拼接绕过这一关直接就给了源码并提示我们时就是先分析一下源码首先是函数将参数转换为数值型直接结束程序也就是说我们传递的不能大于明知道就是但不能直接传否则程序会直接结束传递的即不能大于又需 ctf.show 萌新模块的web1关, 这一关...
摘要:模块第关是一个注入漏洞注入点是数值型注入类型推荐使用布尔盲注此关卡过滤了空格逗号等关键字过滤空格可以使用括号或者注释绕过过滤可以使用替代过滤可以用盲注替代联合注入过滤逗号可以使用特殊语法绕过比如可以用来代替首先确定注入点输入以下使恒成立 ctf.show WEB模块第8关是一个SQL 注...
阅读 3722·2021-10-11 10:56
阅读 3187·2021-10-08 10:04
阅读 837·2021-09-14 17:57
阅读 2296·2019-08-30 15:52
阅读 2098·2019-08-30 12:51
阅读 2717·2019-08-29 18:41
阅读 2705·2019-08-29 17:04
阅读 698·2019-08-29 15:11