文章分类 - 网安
摘要:题目描述 进入题目场景,发现是一段php代码。 代码审计 1.通过POST方式传入stuff这个参数。 2.定义了一个数组变量array,有admin和user。只有当stuff和array这两个数组完全相等(因为使用全等号 )并且stuff索引为0的的元素不等于admin,才能往下执行,否则就hi
阅读全文
摘要:题目描述 进入题目场景 根据题目描述,后门在设备维护中心,进入后发现没什么特殊的情况 查看网页源码,发现云平台设备维护中心是一个index的超链接。 看到变量传参,有可能存在文件包含漏洞读取源码。 可以使用php伪协议读取源码: 构造payload:http://111.200.241.244:59
阅读全文
摘要:题目描述 进入题目场景,发现一段代码 经过整理后得 import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index():
阅读全文
摘要:题目描述 进入题目场景 分别查看可知 由里面的内容知道,flag在flllllllllag文件里面。 访问其文件,发现出现错误 然后尝试用来测试模板注入的语句,发现有些参数被过滤了,即可能存在SSTI漏洞。 获取fllllllllllllag所对应的filehash的值: 'cookie_secre
阅读全文
摘要:题目描述 进入题目场景,知道为模板注入 解题通常有2种解法,手工注入和借助kali里的tqlmap脚本注入 手工注入: 1.测试注入:(有回显说明存在漏洞) payload:http://111.200.241.244:60952/{{1+1}} 2.读取本级目录 payload:http://11
阅读全文
摘要:题目描述 进入题目场景,看见页面只有 可以初步判断这是文件上传的题目,一般这种题型都是构造一句话木马,然后连蚁剑,就可以进到对方的后台了。 一般上传都会有限制文件类型,先看是否为前端,F12进入开发者模式 前端js过滤了,只能上传jpg和png后缀的格式。 将onchange="check()"删除
阅读全文
摘要:题目描述 进入题目场景,看见 审计代码,知道代码定义了一个类,其中有一个魔法方法_wakeup(),_wakeup()会直接退出,并输出" bad requests " 末尾有" ?code= " 看样子是要构造url来绕过_wakeup()这个函数了。 首先_wakeup()方法会在使用函数uns
阅读全文
摘要:题目描述 进入题目场景 从中看见有一处搜索框,搜索新闻初步判定为POST请求。此时我们可以考虑xss或sql注入。 xss注入:页面也是没有返回值,并且根据源码可以看出,js代码是没有被过滤的,但却利用失败,所以这里就不存在xss漏洞。 sql注入:(sqlmap自动和手动注入) 手动注入: 先判断
阅读全文
摘要:题目描述 进入题目场景 发现报表中心有id可以爆破,直接使用burp爆破。 抓包后,将其信息发送至Intruder,然后在进行爆破 因为我们只爆一个参数 id,所以这里选择Siniper即可 这里的Payload type选择number,范围先试一试1-5000,step间隔为1 点击右上角的开始
阅读全文
摘要:题目描述 进入题目场景 按F12进入开发者模式,可以从注释中了解到本题不能用sqlmap,只能考虑手动注入判断。 接着要判断是为数字注入还是字符注入 数字注入:?inject=1 ?inject=1 and 1=1皆可正常回显 字符注入:?inject=1' 报错 ?inject=1' and '1
阅读全文
摘要:题目描述 进入题目场景 对代码进行审核,发现有用get来传参的page,发现strstr函数,它对大小写特别敏感,可以用大写来绕过。 扩展:strstr--查找字符串首次出现的位置,并且直接返回后面的所有字符串。 由于strstr对大小写敏感,用大写PHP进行绕过,即在域名进行传参?page=PHP
阅读全文
摘要:题目描述 进入题目场景 对代码进行分析,基本思路为:对Demo这个类进行序列化,base64加密之后,赋值给var变量进行get传参就行了。 对于类Demo中有三个方法,一个构造,一个析构,还有就是一个魔术方法。 构造函数__construct()在程序执行开始的时候对变量进行赋初值。__ 析构函数
阅读全文
摘要:题目描述 进入题目场景,可以看见“你可以访问浏览吗? 先在域名中输入index.php欲要查看主页面,结果依旧是上述界面,然后可以考虑改后缀名为.phps.然后可以显示以下页面 扩展:phps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到
阅读全文
摘要:进入题目,可以看到 进入题目场景,看到一个坏笑脸 根据常规操作来说,按F12查看网页源码,发现有注释文件 在URL中查看得到 从源码可以看出,还有一个php文件,查看发现 可以知道flag在ffffllllaaaagggg里,重新审核代码,发现mb_strpos()函数,网上了解知道 $whitel
阅读全文
摘要:自定义输出文件路径 kunyu init --output C:\Users\kunyu\output // 默认输出路径为:C:\Users\active user\kunyu\output\ 安装好后进入工具界面 kunyu console Global commands(全局命令): comm
阅读全文
摘要:简介 Kunyu (坤舆),名字取自 <坤舆万国全图> ,测绘实际上是一个地理信息相关的专业学科,针对海里的、陆地的、天上的地理信息进行盘点。同样应用于网络空间,发现未知、脆弱的资产也是如此,更像是一张网络空间地图,用来全面描述和展示网络空间资产、网络空间各要素及要素之间关系,以及网络空间和现实空间
阅读全文
摘要:先wget https://bootstrap.pypa.io/get-pip.py 查python版本,再进行换源 vim pip.conf里面输入 [global] index-url = https://pypi.tuna.tsinghua.edu.cn/simple python3 get-
阅读全文
摘要:没有题目描述 点击进入题目场景 漏洞描述: 由于ThinkPHP5框架对控制器名没有进行足够的安全检测,导致在没有开启强制路由的情况下,黑客构造特定的请求,可直接GetWebShell。 利用system函数远程命令执行 ?s=index/think\app/invokefunction&funct
阅读全文
摘要:题目描述全无。 直接点击进入题目场景 根据提示访问robots.txt(想要了解Robots协议可以看我的相关文章-网络协议) 在URL上输入http://111.200.241.244:64993/robots.txt 在robots.txt文件里我们发现一个 fl0g.php的文件, 猜测这个文
阅读全文
摘要:查看提示(条件竞争) 查看源码 先通过move_uploaded_file把文件保存,然后再去判断后缀名是否合法,合法就重命名,如果不合法再删除。 在多线程情况下,就有可能出现还没处理完,我们就访问了原文件,这样就会导致被绕过防护。下面是我随便找的之前的某一关,很明显看到之前代码是先改名,再移动保存
阅读全文
浙公网安备 33010602011771号