BUUCTF知识点总结(一)

[HCTF 2018]WarmUp 1 对应 CVE-2018-12613

总结:文件包含并且可以目录穿越,在本地复现时如果服务器为windows会报错,原因是windows文件命名规则中规定了文件名不能出现特殊字符\ / : * ? " < > |            在服务器为linux时则不会报错;

[强网杯 2019]随便注 1:

考察堆查询注入,记录在sql注入总结中;

[ACTF2020 新生赛]Include 1:

考察文件包含,记录在文件包含漏洞中;

[护网杯 2018]easy_tornado 1:

考察ssti模板注入,tornado模板的特性handler.settings利用;

[GXYCTF2019]Ping Ping Ping:

windows命令执行,考察常见绕过方式;

[RoarCTF 2019]Easy Calc 1:

总结:php字符串解析漏洞

PHP在接受参数名时,需要将怪异的字符串转换为一个有效的变量名,因此当进行解析时,它会做两件事:1、删除空白符;2、将某些字符转换为下划线(包括空格)


转自:https://www.freebuf.com/column/207936.html
转自:https://www.freebuf.com/column/207936.html

经测试,first loop里的%2b在实际使用时也会出现无法绕过的情况,测试版本为php 7.3.4 与 5.3.29

对于流量监测检测性的waf具有很好的绕过功能;相关漏洞:CVE-2018-7600

[极客大挑战 2019]Upload:

考察文件上传漏洞绕过,记录在文件上传漏洞中;

[HCTF 2018]admin:

python代码审计,知识点flask session欺骗,在config.py中找到SECRET_KEY使用session加密脚本即可加密;

方法二:使用Unicode欺骗,利用nodeprep.prepare的漏洞,先将Unicode字符转为大写再转为小写;

方法三:条件竞争,使登录进程和改密码进程进行竞争;

[SUCTF 2019]CheckIn:

文件上传漏洞,考察.user.ini的利用;

.user.ini的利用条件如下:服务器脚本语言为PHP、服务器使用CGI/FastCGI模式、上传目录下要有可执行的php文件;

利用.user.ini生成后门参考p神文章

[极客大挑战 2019]BuyFlag:

strcmp漏洞,存在于php5.3之前;strcmp(str1,str2):如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0;如果两者相等,返回 0。但如当传入非字符串的参数,该函数会返回0;

[BJDCTF2020]Easy MD5:

知识点:md5($str,true)注入,当md5后的hex转换成字符串后如果包含 ‘or’ 这样的字符串就可以完成注入;

例子:ffifdyop

[CISCN2019 华北赛区 Day2 Web1]Hack World:

告诉了需要查询的表与列,使用异或注入,二分法盲注脚本;由于BUU平台访问过多会Request 429 所以每次for循环中需要sleep(1);


盲注脚本

[网鼎杯 2018]Fakebook:

知识点:SSRF漏洞利用;

由于对可以包含的blog地址进行了过滤,因此需要结合sql注入将我们进行包含的地址进行注入,在联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据,因此可以使用payload:-1/**/union/**/select/**/1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:4:"test";s:3:"age";i:123;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'绕过对file://伪协议的过滤;

网上还看到一篇非预期解,师傅直接使用load_file读取出来flag,使用elt(ord(substr(load_file('/var/www/html/flag.php'),?,1))>?,1)直接读取到了flag,所以在渗透或者做题的过程中不能总是沉浸在自己的思维定势中。

[极客大挑战 2019]HardSQL:

过滤了很多关键字,考察报错注入;

常见十种报错注入

[GXYCTF2019]BabySQli:

比较有意思,需要猜测后端校验密码语句,依然通过联合查询查询不存在的数据,构造一个虚拟的数据;

[网鼎杯 2020 青龙组]AreUSerialz:

php反序列化代码审计,考察知识点:php7.1+对属性类型不敏感,直接用public替换protected绕过is_valid函数,op = 2弱类型绕过_destruct()

[BJDCTF 2nd]fake google:

ssti注入,flask模板,没什么过滤,直接注;

[强网杯 2019]高明的黑客:

解压www.tar.gz,好家伙3002个文件,随便打开一个有很多$_GET和$_POST,写脚本一个一个检测,刚好学习了一波Python多线程编写;

[GYCTF2020]Blacklist:

考察堆叠注入;HANDLER ... OPEN语句打开一个表,使其可以使用后续HANDLER ... READ语句访问,该表对象未被其他会话共享,并且在会话调用HANDLER ... CLOSE或会话终止之前不会关闭;

[RoarCTF 2019]Easy Java:

对WEB/INF的讲解

本题考查java基础知识,需要对java容器和项目存放位置比较了解,通过本题也发现对几大语言的容器,项目环境还需加深理解!

[BUUCTF 2018]Online Tool:

考察知识点:escapeshellcmd+escapeshellarg,和对Nmap的使用,nmap -oG可以将扫描结果和命令写入文件总;

[GKCTF2020]cve版签到:

考察get_headers()漏洞的利用:PHP 7.2.29之前的7.2.x版本、7.3.16之前的7.3.x版本和7.4.4之前的7.4.x版本中的‘get_headers()’函数存在安全漏洞。攻击者可利用该漏洞造成信息泄露。

在get_headers()中会将url参数中的零字符(%00)之后的内容截断;

[GXYCTF2019]禁止套娃:

考察知识点:.git泄露和无参rce;

对参数的正则和p神的代码审计题目差不多,preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])

但是还多了!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp']);因此也就不能使用getcwd、hex2bin等方法;

本题的两种无参rce方法:exp=show_source(session_id(session_start()));

exp=show_source(next(array_reverse(scandir(pos(localeconv())))))

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 205,386评论 6 479
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,939评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,851评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,953评论 1 278
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,971评论 5 369
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,784评论 1 283
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,126评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,765评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,148评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,744评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,858评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,479评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,080评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,053评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,278评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,245评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,590评论 2 343

推荐阅读更多精彩内容

  • 0x00 漏洞原理与危害 网站web应用程序都有一些文件上传功能,比如文档、图片、头像、视频上传,当上传功能的实现...
    Z1ng3r阅读 1,572评论 0 1
  • SQL注入面试时该知道的知识点 总体见解: 1.只要是支持批处理S...
    kevinhuangk阅读 7,055评论 0 3
  • 基础 1.jdk和jre的区别 如果你需要运行 java 程序,只需安装 JRE 就可以了,如果你需要编写 jav...
    不怕天黑_0819阅读 366评论 0 1
  • 一年前写了一篇JavaScript八张思维导图,主要是对前端JavaScript知识点的一个系统的整理和总结。本篇...
    dykingdy阅读 1,753评论 0 0
  • 久违的晴天,家长会。 家长大会开好到教室时,离放学已经没多少时间了。班主任说已经安排了三个家长分享经验。 放学铃声...
    飘雪儿5阅读 7,487评论 16 22