30天打卡day7

x

想吃炸鸡day7

[SUCTF 2018]MultiSQL

admin’中‘被转移就无法二次注入，通过翻页越权，mysqli_multi_query()函数堆叠注入

url='http://9d09a1ad-3f91-41b5-9e7f-913c17681937.node4.buuoj.cn:81/user/user.php?id=0^(hex(load_file(0x2f7661722f7777772f68746d6c2f696e6465782e706870))<'+data+str(hex(i)).replace('0x','')+')'

布尔盲注读文件

SELECT ... WHERE id=0^(hex(load_file(...)) < '...')

sql注入写文件outfile， char绕过限制脚本

[安洵杯 2019]不是文件上传

insert注入反序列化内容，filegetcontent填/flag，post传输不会对内容url解码

文件名注入，代码审计详解，不可见字符用sql 的bin2hex编码

[NewStarCTF 2023 公开赛道]include 0。0

include文件读取过滤base和rot，用16进制

[强网杯 2019]Upload

getimagesize函数绕过，图片插入木马，再用cookie反序列化触发update_img方法修改上传图片马的名字

checker不赋值或者等于false就好了 ？？？

tp特性

魔术方法示例，逻辑详解

[pasecactf_2019]flask_ssti

过滤单引号，点号，下划线用16进制，异或算法2次encode解密

linux文件路径详解1

详解2

异或解密脚本

[CISCN2019 华东南赛区]Web4

伪协议file和local_file的区别，伪造session，读取mac地址文件路径

session manager使用实例

注意靶机环境是py2

复现失败，py2也失败ccc

[GXYCTF2019]BabysqliV3.0

看似sql实则弱口令，看似文件上传实则文件包含，给了一个class=>反序列化+文件上传但没有反序列化方法=phar文件上传，file_get_concents的echo触发了toString方法，通过get传flag路径文件名从file_get_contents得到flag，phar文件的具体使用方法

非预期1，2被手动删了

不是，预期解怎么也复现失败了，我觉得是name功能缺失了（绝对不是我菜的问题）

[NewStarCTF 2023 公开赛道]Begin of HTTP

基础练习

bestphp’s revenge

理论详解

利用soapClient类的call方法进行ssrf，crlf注入修改http请求包，php session反序列化，‘|’序列化注入，extract在post变量覆盖，session伪造

实操详解

call user func详解与示例,利用回调函数调用session_start函数，修改session的位置,序列化的引擎和反序列化的引擎不一致时，可以利用引擎之间的差异产生序列化注入漏洞。源码并没有类，去利用php的原生类。extract结合call user func实现变量覆盖

利用回调函数覆盖session序列化引擎为php_serilaze，构造SSRF的Soap类的序列化字符串配合序列化注入写入session文件，然后利用变量覆盖漏洞，覆盖掉变量b为回调函数call_user_func，此时结合我刚开始所说的回调函数调用Soap类的未知方法，触发__call方法进行SSRF访问flag.php。把flag写入session，再把session打印出来即可。

extract 的作用

extract($_POST);

会把 POST 参数里的 key 变成变量名：

$_POST = [
    'b' => 'xxx'
];

执行后：

$b = 'xxx';

crlf 新浪实例