[蓝帽杯 2021]One Pointer PHP 虽然这个比赛只有一个Web题但是质量确实挺高的,值得用一篇文章来记录一下 这道题主要核心内容就是打PHP-FPM服务的原理和方法 One Pointer PHP 解题步骤 设置数组溢出 使用FTP被动连接打php-FPM SUID提权 0x01 PHP数组溢出 题目代码内容不多 //user.ph…

为什么我被置顶了? 这篇文章之所以置顶是因为以后一些杂七杂八的小Tips会记录在这里,不置顶的话过两天就石沉大海找不到了哈哈哈哈 文件包含是否支持%00截断取决于： PHP版本<=5.2 可以使用%00进行截断。 php支持的伪协议有： php:// — 访问各个输入/输出流（I/O streams） file:// — 访问本地文件系统 p…

Phar的绕过 [TOC] 受害函数 fileatime / filectime / filemtime stat / fileinode / fileowner / filegroup / fileperms file / file_get_contents / readfile / fopen` file_exists / is_dir / i…

因为发现有很多以前学习记录的一些零散文章但是基本都没有很好地总结归纳, 但是最近刷题经常用到以前零散笔记里面的知识, 所以遇到的话我就把笔记和知识点再梳理一便然后再发一个文章, 要不然的话很多笔记如果不上传到博客的话真的是写了之后就再也不看了, 放在文件夹吃灰太可惜了(就是因为这样子才学习效率那么低 o(╥﹏╥)o)

渗透测试怎么利用Redis提权 [TOC] 之前就有做过一些redis的题目, 不过一直没去了解过redis的操作命令,结果这次做渗透测试就用到了所以又去学了一遍, 在这里记一下一些常用的操作命令再贴几个提权方式方便以后要使用redis的时候参考吧 以下redis的特性和命令内容均参考于菜鸟教程Redis教程 Redis介绍 redis的一些特性 …

[HFCTF 2021 Final] | BUU复现 easyflask ​ 直接给出源码: #!/usr/bin/python3.6 import os import pickle from base64 import b64decode from flask import Flask, request, render_template, ses…

红明谷CTF 2021 | BUU2021CTF复现 [红明谷CTF 2021]write_shell <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|…

之前的很多比赛都没有做好复现和wp记录, 导致很多时候比赛的收获大打折扣, 现在发现BUU也更新了很多去年2021的CTF比赛题目。这对于我这个没做好复现的人无疑是一个好消息。最近多肝一下, 每天复现一个比赛再发个文章巩固积累一下吧, 现在已经越来越感觉自己的能力明显不足, 很多时候不管是打CTF还是做渗透测试都感到多少有点力不从心, 还需努力呀.…

CVE-2022-0847-DirtyPipe原理 | 文件覆写提权 一.漏洞描述 ​ CVE-2022-0847 是存在于 Linux内核 5.8 及之后版本中的本地提权漏洞。攻击者通过利用此漏洞，可覆盖重写任意可读文件中的数据，从而可将普通权限的用户提升到特权 root。 ​ CVE-2022-0847 的漏洞原理类似于 CVE-2016-51…

文件上传文件名绕过原理 最近学习php的fpm和cgi看到了以前刚开始学习到文件上传时的一些漏洞发生原理,记录一下吧 Nginx(IIS7)解析漏洞 漏洞现象 用户访问http://127.0.0.1/favicon.ico/.php时，访问到的文件是favicon.ico，但却按照.php后缀解析了 原理 正常来说，SCRIPT_FILENAME…

PHP-FPM && PHP-CGI && FASTCGI CGI 早期的Web服务器，只能响应浏览器发来的HTTP静态资源的请求，并将存储在服务器中的静态资源返回给浏览器。随着Web技术的发展，逐渐出现了动态技术，但是Web服务器并不能够直接运行动态脚本，为了解决Web服务器与外部应用程序（CGI程序）之间数据互通…

Docker的 include $_GET文件包含 这个文章是几个月前一个CTF比赛的wp中用到一个看起来很奇怪的payload就直接执行,后来才发现是p神去年一篇文章Docker PHP裸文件本地包含综述中有说到的, 所以就对这个文章做了一下记录, 笔记都要吃灰了现在还是放上来吧以免以后找不到了 如果以后还有其他新的方法出现再的话再慢慢加上来吧.…

SSTI 模板注入 | 一个找可利用类的小脚本 运行测试版本 : python3.7.0 flask2.0.3 代码 代码写的有点烂,也有很多冗余代码,不过不想改了,能跑就行,将就着用吧hhhh 运行flask模块 | index.py import flask app = flask.Flask(__name__) # @app.route(&#…

SSTI模板注入Plus | Bypass 一些语法: {% ... %} 用来声明变量，也可以用于循环语句和条件语句 {{ ... }} 将表达式打印到模板输出 {# ... #} 未包含在模板输出中的注释 # ... # 和{%%}有相同的效果 例子: {% set x= 'abcd' %} 声明变量 {% for i in…

SSTI模板注入 一些概念 模板注入 模板可以理解为是一段固定好格式，并等着你来填充信息的文件，模板注入就是指将一串指令代替变量传入模板中让它执行 装饰器 先了解了一下装饰器的概念 @app.route也是一个装饰器, 作用是把函数和URL绑定 渲染 render_template 用来渲染一个指定的文件的 render_template_stri…

RPO漏洞攻击 | (一个提交页面+一个文章编辑页面) 利用条件 服务器中间件为Nginx或修改配置后的Apache 存在相对路径的js或者css的引用 文件代码 RPO/index.php <html><body><script src="test.js"></script>&l…

Command Bypass | Linux 特殊字符作用 $ ${n}表示输入的第n个参数,0-9不用加{},但是到了10以后就要使用${10} cd $0 ~ $9表示切换到当前用户根目录~ $ 表示全局变量 ! 简单来说，叹号可以单独成一个文件夹，也可以作为文件夹的末位字符，说白了，叹号后面不能加东西，叹号加字符代表着特殊含义 !! --&g…

一些攻击方式 图片(假图片)木马 得到一个名为crs.jpg的假图片,打开图片就会运行木马 通过winrar配置压缩文件 配置自解压(获得的压缩文件名为Destop.exe) 配置自解压路径 配置解压后执行的程序(执行解压出来的木马) 隐藏解压过程 修改后缀名为.scr(或msi、sys) 通过工具ResourceHacker修改获得的exe文件的…

bypass disable:CVE-2014-6271(Bash破壳漏洞) 漏洞范围： GNU Bash 版本小于等于4.3 其实现在大多数的服务器的bash版本都超过了4.3,已经对这个漏洞就行了修复也就无法利用了,不过学习了一下这个漏洞也还是记录一下吧 漏洞成因： 目前的bash使用的环境变量是通过函数名称来调用的，导致漏洞出问题是以“(){…

LD_PRELOAD 后门 用途 主要是用于绕过 disable_functions ,本质上是加载顺序的问题， 动态链接库加载过程中会先加载 LD_PRELOAD 指向的变量，这样我们可以利用这个先加载来进行劫持正常的函数和命令 只要劫持系统命令调用的一个函数就可以在劫持函数任意执行其它函数从而绕过disable_functions 劫持命令调用…