安洵线上web复现

作者:小俊 分类: 渗透测试 发布于:2020-3-27 22:27 ė82次浏览 60条评论

复现靶场

[BUUCTF:](https://buuoj.cn) 

easy_web

做题收获

MD5碰撞 请求头参数 函数绕过 

链接异样参数

url链接:http://f136257d-088e-4515-8177-87895a75cca5.node3.buuoj.cn/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=
链接

base64解密,再十六进制转文本

base64解密
base64解密
十六进制转文本

把index.php转十六进制再base64加密

十六进制转文本
base64解密
base64解密

带入原url链接

发现左上角原有的表情已经没有了,猜测已经读取了index.php源码,查看源代码
index.php

对图片数据流base64解密得index.php源码

base64解密

源码要求

get获取cmd参数,对参数进行过滤,把cmd字符当做命令执行 post获取a,b,a不等于b,并且两个参数的md5值相等 

函数绕过

md5绕过请参考先知社区:[先知社区]:(https://xz.aliyun.com/t/2232) 可将POST参数改为get参数.方便直接观看 

md5绕过

命令执行

cat、tac、more、less、tail等查看文件内容的都被禁用了,怎么查看flag呢? 从过滤代码中看到:|\|\\|然而|\|才是匹配一个\,所以使用\绕过:cmd=/bin/ca\t或者cmd=/bin/c\at 

在hackbar里面提交post请求,会添加post请求头
post
burp 抓包改repeater发包,%20是空格的url编码
注意最后post数据没空格
burp
直接发包改为post请求的师傅请自动添加请求头

Content-Type: application/x-www-form-urlencoded http 请求头:https://www.cnblogs.com/lwhkdash/archive/2012/10/14/2723252.html 

flag

flag

easy_serialize_php

做题收获

1:函数绕过 2:PHP反序列化利用(不是自己构造)

本文出自 小俊博客,转载时请注明出处及相应链接。

0

发表评论

电子邮件地址不会被公开。必填项已用*标注


Ɣ回顶部