攻防世界web新手题8、12题

一个星期前的三道web新手题一直拖着没写wp…今天补出来。昨天一人跟我说我博客半年没更新了,我气急败坏的怼回去说我顶多一周没更新,结果打开博客一看,从24号到31号刚好一周…七月份放假后可以说过的相当放松..因为除了每天练两个小时的琴准备八月二号的考级外什么也没干(手动微笑),所以趁着八月份的开始我也要好好开始了(再次微笑),毕竟再不开始学python借的书就白带回来了,该被某人嘲笑了(依然微笑)。然后就是 该读书了,七月又是一本书没读的七月(微笑),真尴尬呢(微笑),今天就从《第七天》开始读吧。

weak_auth

1
因为看到题目是随手设了一个密码,所以我就随手试了一下123456,结果直接拿到了flag。。

先根据弹出的弹窗提示确定用户名为admin,然后查看源码,根据提示需要一个字典,因此需要进行爆破
2

使用burp进行爆破
3

将抓到的包send to intruder后设置payload,选择一个字典,开始爆破

这里提供别人github中的一个字典:
https://github.com/rootphantomer/Blasting_dictionary
4

发现密码为123456时长度和其他不同
5

查看响应包,得到flag
6

webshell

7
根据题目猜测是一句话木马,打开题目看出这个一句话的密码是” shell “
8
于是打开菜刀,添加,输入url,输入密码shell,连接成功,得到flag
9

command_execution

10

  • WAF:Web应用防护系统,是专门为保护基于web应用程序而设计的,不像传统的防火墙,是基于联网地址和端口号来监控和阻止数据包。
  • 看到ping命令就可以利用截断来执行新的命令。
    首先测试所有的截断符号,如&、|、||、;

打开题目,先尝试ping本地地址127.0.0.1
11

然后尝试找到所有的.txt文件

1
127.0.0.1 && find / -name "*.txt"

12
发现flag.txt

于是查看flag.txt文件,得到flag

1
127.0.0.1 && cat /home/flag.txt

13

知识点:

命令执行漏洞

当应用需要调用一些外部程序去处理内容时,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,就可将恶意系统命令注入到正常命令中,造成命令执行攻击。

在操作系统中,“&、|、||”都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令

  • A&&B,表示A命令语句执行成功,然后执行B命令语句
  • A&B,表示简单的拼接,A命令语句和B命令语句没有制约关系
  • A|B,表示A命令语句的输出,作为B命令语句的输入执行
  • A||B,表示A命令语句执行失败,然后才执行B命令语句
  • A;B,表示先执行A,再执行B

推荐文章:https://www.freebuf.com/column/154670.html