SUYUMEN

nmap

2021-07-20

TCP连接扫描

nmap -sT <host address>

SYN扫描

nmap -sS <host address>

绕过ping扫描

nmap -Pn <host address>

工具

EIS-2019-EzPOP

2021-07-10

直接给了源码：

<?php
error_reporting(0);

class A {

    protected $store;

    protected $key;

    protected $expire;

    public function __construct($store, $key = 'flysystem', $expire = null) {
        $this->key = $key;
        $this->store = $store;
        $this->expire = $expire;
    }

    public function cleanContents(array $contents) {
        $cachedProperties = array_flip([
            'path', 'dirname', 'basename', 'extension', 'filename',
            'size', 'mimetype', 'visibility', 'timestamp', 'type',
        ]);

        foreach ($contents as $path => $object) {
            if (is_array($object)) {
                $contents[$path] = array_intersect_key($object, $cachedProperties);
            }
        }

        return $contents;
    }

    public function getForStorage() {
        $cleaned = $this->cleanContents($this->cache);

        return json_encode([$cleaned, $this->complete]);
    }

    public function save() {
        $contents = $this->getForStorage();

        $this->store->set($this->key, $contents, $this->expire);
    }

    public function __destruct() {
        if (!$this->autosave) {
            $this->save();
        }
    }
}

class B {

    protected function getExpireTime($expire): int {
        return (int) $expire;
    }//格式化

    public function getCacheKey(string $name): string {
        return $this->options['prefix'] . $name;
    }//拼接字符串

    protected function serialize($data): string {
        if (is_numeric($data)) {
            return (string) $data;
        }//格式化

        $serialize = $this->options['serialize'];

        return $serialize($data);
    }

    public function set($name, $value, $expire = null): bool{
        $this->writeTimes++;

        if (is_null($expire)) {
            $expire = $this->options['expire'];
        }

        $expire = $this->getExpireTime($expire);
        $filename = $this->getCacheKey($name);

        $dir = dirname($filename);

        if (!is_dir($dir)) {
            try {
                mkdir($dir, 0755, true);
            } catch (\Exception $e) {
                // 创建失败
            }
        }

        $data = $this->serialize($value);

        if ($this->options['data_compress'] && function_exists('gzcompress')) {
            //数据压缩
            $data = gzcompress($data, 3);
        }

        $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
        $result = file_put_contents($filename, $data);

        if ($result) {
            return true;
        }

        return false;
    }

}

if (isset($_GET['src']))
{
    highlight_file(__FILE__);
}

$dir = "uploads/";

if (!is_dir($dir))
{
    mkdir($dir);
}
unserialize($_GET["data"]);

反序列化

php序列化与反序列化

2021-07-10

序列化

将变量或对象转换成字符串的过程。

1	$my = serialize($Site);

反序列化

1	unserialize(string $my)

如果传入的字符串不可被反序列化，则会返回FALSE，并产生一个 E_NOTICE。

php常识

php的类与对象

2021-07-08

因为碰到反序列化的题会碰到php的类相关的知识，有时候看代码不太懂，所以特意学习一下php的类与对象。军训太忙了，中午要洗衣服睡觉，晚上要搞志协的工作然后就又要睡觉了……水成两篇，下一篇记序列化相关的东西。

类定义

<?php
class Site {
  /* 成员变量 */
  var $url;
  var $title;
  
  /* 成员函数 */
  function setUrl($par){
     $this->url = $par;
  }
  
  function getUrl(){
     echo $this->url . PHP_EOL;
  }
  
  function setTitle($par){
     $this->title = $par;
  }
  
  function getTitle(){
     echo $this->title . PHP_EOL;
  }
}
?>

php常识

羊城杯2020Easyphp2

2021-07-03

进入之后界面显示

404 Sorry, only people from GWHT are allowed to access this website.23333

观察到url是

http://3d9dc9d7-0e2a-4cb9-93ad-3f176e320dd3.node4.buuoj.cn/?file=GWHT.php

扫了一下目录，在/robots.txt得到Disallow: /?file=check.php

考虑用php://filter协议

试一下

/?file=php://filter/read=convert.base64-encode/resource=check.php

php伪协议

php异或计算

2021-07-03

绕过原理

1.字符异或计算。

2.如eval()函数在执行时，如果内部有计算式，会先进行计算再执行函数。

常用场景

1.eval()命令执行；
2.正则未过滤异或计算符。

异或绕过

NCTF-2019-SQLi

2021-05-20

特意找点sql注入的题来写写（万一能自己写出来了呢……）

开题是登录界面，给了源逻辑

1	sqlquery : select * from users where username='' and passwd=''

sql注入正则注入

SUCTF-2019-EasySQL

2021-05-19

POST数字后回显Array ( [0] => 1 )；

字母后没有回显；

有长度限制；

过滤了OR ，& ，select * from ，flag

sql注入堆叠注入

SUCTF-2019-CheckIn

2021-05-16

签到题耶，我还以为我能写，，原来我还是不会写[乌乌]。

打开站点就是文件上传。

试了：

1	<script language="php">eval($_GET['mycode']);</script>

回显exif_imagetype:not image!

文件上传

HFCTF-2021-Final-easyflask

2021-05-14

虽然是五一布置的作业，然而五一的时候完全不会。才对flask有一点点了解，过来写写这个试试吧，希望可以多做一些步骤。

根据页面指示，在file?file=/app/source得到源码：

#!/usr/bin/python3.6
from flask import Flask, request, render_template, session
from base64 import b64decode
import pickle
import os

app = Flask(__name__)
app.config["SECRET_KEY"] = "*******"
User = type(
    'User', (object,),
    {
        'uname': 'test',
        'is_admin': 0,
        '__repr__': lambda
        o: o.uname,
    }
)


@ app.route('/', methods=('GET',))
def index_handler():
    if not session.get('u'):
        u = pickle.dumps(User())
        session['u'] = u
        return "/file?file=index.js"


@ app.route('/file', methods=('GET',))
def file_handler():
    path = request.args.get('file')
    path = os.path.join('static', path)
    if not os.path.exists(path) or os.path.isdir(path) or '.py' in path or '.sh' in path or '..' in path or "flag" in path:
        return 'disallowed'

    with open(path, 'r') as fp:
        content = fp.read()
        return content


@ app.route('/admin', methods=('GET',))
def admin_handler():
    try:
        u = session.get('u')
        if isinstance(u, dict):
            u = b64decode(u.get('b'))
            u = pickle.loads(u)
    except Exception:
        return 'uhh?'
    if u.is_admin == 1:
        return 'welcome, admin'
    else:
        return 'who are you?'


if __name__ == '__main__':
    app.run('0.0.0.0', port=80, debug=False)

反序列化