- 博客(32)
- 收藏
- 关注
RSS订阅原创 假期笔记 语雀知识库链接
token=SGQlQsBcm5TVUXqL# 邀你加入知识库「ctfshow · 语雀」(可阅读)token=5JShvQVqSk9deDr2# 邀你加入知识库「尚硅谷Java · 语雀」(可阅读)token=dbZFYKq4X1Z7hpDi# 邀你加入知识库「默认知识库 · 语雀」(可阅读)token=FqOX8JaOW1Vmvoe7# 邀你加入知识库「小迪安全 · 语雀」(可阅读)
2023-08-21 00:14:16
227
原创 小迪安全1,2
WEB源码类对应漏洞:SQL注入 上传 xss 代码执行 变量覆盖 逻辑漏洞 反序列化等。ping一个域名,先去看一下host里有没有对应得IP地址,有的话,就以这个为准。抓取数据的话,抓到的https都是一些加密的信息,数据被加密,更安全。CDN可以理解为一个缓存,那么你访问的就是一个缓存。不同的应用可以使用不同的语言编写,对应的安全性也不同。网站源码:分脚本类型 分应用方向。response返回数据包数据格式。WEB中间件对应漏洞。WEB数据库对应漏洞。WEB系统层对应漏洞。
2023-07-30 20:13:17
105
原创 ctfshow web入门 信息搜集
您可以在您的网站中创建一个纯文本文件robots.txt,在这个文件中声明该网站中不想被robot访问的部分,这样,该网站的部分或全部内容就可以不被搜索引擎收录了,或者指定搜索引擎只收录指定的内容。在var/www/html/nothinghere/fl000g.txt中,找到flag。在url里面访问/nothinghere/fl000g.txt。在url里输入/backup.sql,backup是备份的意思。phps文件泄露,我们可以访问index.phps,保存文件。在url后面添加/admin/
2023-07-30 08:33:03
98
原创 sqli 8-30
爆字段:admin') and updatexml(1,concat(0x7e,substr((select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security'),1,31),0x7e),1)#2.获取字段列名:?1.获取字段列数:?3.判断表的字符:?2.判断第一个表的长度:?
2023-06-15 21:54:00
127
原创 sqli 1-7
id=1' and updatexml(1,concat(0x7e,(select distinct concat(0x7e, (select group_concat(column_name)),0x7e) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1) -- - 爆出users表的字段。表示所有字段对应的表名。可以看到是第二列和第三列里面的数据是显示在页面的。
2023-06-14 22:16:17
54
原创 xss-labs 11
(SWF文件可以保存基于视频和矢量的动画和声音,也可以保存交互式文本和图形。源码:<input name="t_cook" value="'.$str33.'" type="hidden">源码:<input name="t_ref" value="'.$str33.'" type="hidden">源码:<input name="t_ua" value="'.$str33.'" type="hidden">先获得请求头的referer,然后过滤<和>后,输出在value处,仍然闭合value。
2023-06-12 17:11:33
43
原创 xss-labs 1-10
strpos()函数用于在字符串内查找一个字符或一段指定的文本,如果在字符串中找到匹配,该函数会返回第一个匹配的字符位置,如果未找到匹配,则返回FALSE。添加友情链接处是突破点,在输入字符提交后,友情链接处会载入一个拼接后的a标签,因为javascript被过滤,所以进行编码绕过再点击友情链接。所以:<input name=keyword value=''onmouseover='alert(/xss/)'>从页面回显来看,将name参数的值显示在了页面上,并且显示了name参数值的字符长度。
2023-06-11 20:18:09
86
原创 pikachu 6
敏感信息泄露虽然一直被评为危害比较低的漏洞,但这些敏感信息往往给攻击着实施进一步的攻击提供很大的帮助,甚至“离谱”的敏感信息泄露也会直接造成严重的损失。如果后端采用了前端传进来的(可能是用户传参,或者之前预埋在前端页面的url地址)参数作为了跳转的目的地,而又没有做判断的话,就可能发生"跳错对象"的问题。提交一个序列化好的内容,但是里面的变量是一个恶意的JS,提交给后台,后台会对提交的数据进行反序列化,反序列化的过程中,会自动调用魔法方法。输入O:1:"S":1:{s:4:"test";
2023-06-11 10:11:44
49
原创 pikachu 5
文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。此时如果 攻击者提交的不是一个程序预期的的文件名,而是一个精心构造的路径(比如../../../etc/passwd),则很有可能会直接将该指定的文件下载下来。所以,在设计文件下载功能时,如果下载的目标文件是由前端传进来的,则一定要对传进来的文件进行安全考虑。
2023-06-10 22:05:03
33
原创 pikachu 4
单引号因为php中使用addslashes函数,被转义为\',编码后就是%5c%27加上pyload中的%df 后,就是 %df%5c%27 ,然后MySQL在使用GBK编码的时候,会认为两个字符为一个汉字, %df%5c就被解析为一个汉字,%27也就是单引号就成功逃逸了,成功实现闭合,后面就可以通过or 来执行语句了。表现:没有报错信息;输入kobe' and if ((substr(database(),1,1))='p',sleep(5),null)#,提交。
2023-06-07 20:12:55
44
原创 6.6笔记
转义:所有输出到前端的数据都根据输出点进行转义,比如输出到html中进行html实体转义,输入到JS里面的进行js转义。SQL 是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统。过滤:根据业务需求进行过滤,比如输入点要求输入手机号,则只允许输入手机号格式的数字。HTML 旨在显示信息,而 XML 旨在传输信息。总的原则:输入做过滤,输出做转义。
2023-06-06 21:48:32
27
原创 Pikachu 3
总结:猜测后台的sql语句是怎么拼接的,猜测变量是用的数字型的还是字符型的还是搜索型的等等,变量的拼接类型是多种多样的,然后去构造闭合,只要能成功的把这个闭合构造出来,然后后端如果没有做处理的话,用拼接的方式,就可以成功的去进行相关的payload的测试。从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)我们的参数是在url里面提交的,是get型提交的,所以我们要对它做一个url的编码,这一整段不是一个完整的url,用burp里面自带的转化工具,把相关的关键字进行一个对应的编码。
2023-06-06 21:48:13
48
原创 6.5笔记(主要get post html)
—>服务器接受请求并返回HTTP响应(一个响应由状态行、响应头部、空行和响应数据4部分组成。2、 POST 是被设计用来向上放东西的,而GET是被设计用来从服务器取东西的,GET也能够向服务器传送较少的数据,而Get之所以也能传送数据,只是用来设计告诉服务器,你到底需要什么样的数据.POST的信息作为HTTP 请求的内容,而GET是在HTTP 头部传输的;在网络环境好的情况下,发送一次包的时间和发送两次包的时间差可以忽略,在网络环境差的情况下,发送两次包的TCP在验证数据的完整性上,有非常大的优势。
2023-06-05 21:57:37
32
原创 pikachu 2
查看源码,dom的输入是从浏览器的url中获取的,把这段url发送给需要攻击的用户,这个用户只需要打开这个链接,我们构造的这一段恶意的JS代码就会被插入到用户的页面里面去(和反射型的xss一样)产生原因:前端的输入被DOM获取到了,也就是被DOM进行了操作,通过DOM又在前端输出了,不经过后台进行交互。提交一个留言,发现留言会被存储在页面上,刷新页面,留言会一直在这里,所以说我们提交的留言被后台存下来了。修改输入栏限制的长度,输入一段JS代码,这段代码在输入输出之后成功的在浏览器中被执行了。
2023-06-05 21:50:24
39
原创 pikachu
发送到intruder,选择Cluster bomb爆破方式,爆破用户名和密码 (我们的目的是对这个数据包进行连续的存放,每一次存放的时候,我们需要把这里的账号和密码替换成我们字典里面的账号和密码,然后不停的去试,然后根据访问结果,再来判断这个尝试是否成功)发送到repeater,将正确的密码改为空,检验后台是否验证验证码,如图所示,验证码不能为空,验证码输入错误,说明后台对验证码进行了校验。确认验证码是否有效,修改正确的验证码,发现是前段JS做的验证码,后端不检测,起不到什么真实的作用。
2023-06-04 22:01:16
69
原创 6.4笔记
弱口令指的是仅包含简单数字和字母的口令,例如"123"、"abc"等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。DOM型:不与后台服务器产生数据交互,是一种通过DOM操作前端代码输出的时候产生的问题,一次性也属于反射型(和一般反射型区别:不在后台进行数据的交互)反射型:交互的数据一般不会被存在数据库里面,一次性,所见即所得,一般出现在查询类页面等。存储型:交互的数据会被存在数据库里面,永久性储存,一般出现在留言板,注册等页面。3.草叉模式(Pitchfork)
2023-06-04 21:58:35
34
原创 upload通关
可以看到,该源码功能大概是,当我们上传一个文件后,文件会先上传到服务器,然后再判断该文件类型是否含在白名单中(jpg、png、gif),如果是,则会将该文件重命名后放在服务器中,如果不是,则会将该文件删除掉。漏洞描述:后缀名做了白名单判断,然后会一步一步检查文件大小,文件是否存在等等,将文件上传后,对文件重新命名,同样存在条件竞争的漏洞。可以不断利用burp发送上传图片马的数据包,由于条件竞争,程序会出现来不及rename的问题,从而上传成功。pass 19逻辑漏洞(条件竞争-图片马)
2023-06-03 22:14:56
24
原创 6.3笔记 文件上传常见漏洞
如果不能达到要求就会删除文件,如果达成要求就会保留,那么当我们上传文件上去的时候,检测是否到达要求需要一定的时间,这个时间可长可短,但是我们确确实实在某一刻文件已经上传到了指定地址,并且访问到这个文件。文件包含漏洞:随着网站业务的需求,程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含的文件时,用户对这个变量可控而且服务端又没有做合理的校检或者校检被绕过就造成了文件包含漏洞。文件,即使删除了上传文件,但是新的木马文件已经生成。
2023-06-03 22:14:04
209
原创 upload通关
因为时POST方式获取,需在16进制中修改,因为POST不会像GET那样对%00进行自动解码。通过读取文件的前两个字节,检测上传文件二进制的头信息,判断文件类型。在cmd里执行1.jpg/b+2.php/a 3.jpg。1.jpg为任意图片 2.php为我们要插入的木马代码。还是白名单校验,但上传文件的存放路径可控,生成的3.jpg就是我们要创建的图片木马。利用图片木马绕过检测。
2023-06-02 22:01:00
57
原创 6.2笔记
如果数据是英文字母/数字,原样发送,如果是空格,转换为+,如果是中文/其他字符,则直接把字符串用urlencode函数转换,得出如: %E4%BD%A0%E5%A5%BD,其中%XX中的XX为该符号以16进制表示的ASCII。(3)浏览器确认,并发送get请求头和数据(第三次握手,这个报文比较小,所以http会在此时进行第一次数据发送)(3)浏览器确认,并发送post请求头(第三次握手,这个报文比较小,所以http会在此时进行第一次数据发送)(1)浏览器请求tcp连接(第一次握手)
2023-06-02 22:00:19
28
原创 6.1笔记
事实上没有扩展名也是没有任何问题的,但是推荐用扩展名,因为扩展名不仅可以让操作系统知道该用什么软件打开文件,更重要的是可以让用户一眼就看出来这是什么类型的文件.当然,扩展名也可以随意更改的,甚至可以去掉,但是这样就会导致操作系统识别不了该文件或者识别错误,也可以通过手动指定软件打开文件。文件扩展名也称为文件的后缀名,是操作系统用来标记文件类型的一种机制,在Windows系统下,扩展名还可以告诉操作系统默认用什么软件打开文件。通常来说,一个扩展名是跟在主文件名后面的,由一个分隔符(英文句号)分隔。
2023-06-01 21:56:19
22
原创 upload通关
上传的文件的后缀名在白名单内即可,例如:1.png,保存后为upload/phpinfo.php%001.png,但是服务器读取到%00时会自动结束,将文件内容保存至phpinfo.php中(%00的截断作用)补充知识:php在window的时候如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名,且保持"::$DATA"之前的文件名 他的目的就是不检查后缀名。上传1.png,抓包,将文件后缀名.png改为.php::$DATA。删除路径中的::$data,可以访问。
2023-06-01 21:46:39
20
原创 5.31笔记
Forward 的功能是当你查看过消息或者重新编辑过消息之后,点击此按钮,将发送消息至服务器端。Drop 的功能是你想丢失当前拦截的消息,不再forward到服务器端。Interception is off 表示拦截功能关闭,不再拦截通过Burp Proxy的所有请求数据。1、举例:在一个网站登陆页面,前端只要需要负责静态页面部分,鼠标移入输入框、移出输入框的颜色变化这部分的内容;3、如果你发现你身边有这样一个人,他前端后台,样样精通,文能提笔发paper,武能调试除bug。这种人叫做:全栈工程师。
2023-05-31 17:20:30
33
1
原创 upload通关
我们在数据包中把后缀名改为.php. .,首先他发现有一个点,这时会把他去掉,又发现有一个空格,也会把它去掉,我们这时还有一个点,也就是.php. 由于他只是验证一次,所以不会在去掉我们的点。MIME类型校验就是我们在上传文件到服务端的时候,服务端会对客户端也就是我们上传的文件的Content-Type类型进行检测,如果是白名单(值得信任允许访问或者允许通过验证的名单)所允许的,则可以正常上传,否则上传失败。上传.php类型文件,burp抓包,在数据包中把后缀名改为.php. .
2023-05-31 17:19:23
41
1
原创 文件上传漏洞
站点常见文件上传点有:用户头像上传、社交类网站允许用户上传照片、服务类网站需要用户上传证明材料的电子档、电商类网站允许用户上传图片展示商品情况等。方法2.因为是进行前端JS校验,因此可以直接在浏览器检查代码把checkFile()函数删了或者也可以改成true,并按回车,即可成功上传php文件。通常是因web应用程序没有对上传的文件进行安全判断或者判断条件不够严谨,导致恶意攻击者可以上传木马脚本文件到服务器中,从而执行恶意代码。方法3.burp抓包 先上传允许上传的文件,然后抓包后修改上传文件的后缀。
2023-05-30 22:14:01
82
1
原创 5.30笔记
大部分的 XSS 漏洞都是由于没有处理好用户的输入,导致恶意脚本在浏览器中执行。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。网络层(IP协议)本身没有传输包的功能,包的实际传输是委托给数据链路层(以太网中的交换机)来实现的。,电脑 A 为了知道电脑 B(192.168.0.2)的 MAC 地址,将会。一条 arp 请求,B 收到请求后,带上自己的 MAC 地址给 A 一个。,也就是通过某种方式,找到。对应的 MAC 地址。
2023-05-30 22:13:14
20
1
原创 23.5.28笔记
主机环回指的是,地址为127.0.0.1的数据包不应离开计算机(主机)发送,而不是发送到本地网络或internet,它只是在自身上“环回”,发送数据包的计算机成为收件人。OSI参考模型,即开放式系统互联(Open System Interconnect)模型,其含义就是为所有公司使用一个统一的规范来控制网络,这样所有公司遵循相同的通信规范,网络就能互联互通了。抓包(packet capture)就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全。因此,它也被称为程序地址。
2023-05-28 22:01:20
15
1
原创 MySQL案例
案例5:基本select查询语句。案例7:distinct关键字。案例9:逻辑条件:and,or。案例2:MySQL的数据类型。案例11:like和通配符。案例10:order by。案例4:插入,删除,更新。案例8:where语句。用于返回唯一不同的值。
2023-05-28 22:00:53
14
原创 整理笔记3
黑客入侵了一个网站之后,通常会将asp或者php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。攻击者利用Web服务器中的代码漏洞,在页面中嵌入客户端脚本,当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。发生前提:系统或软件代码中使用了执行命令的函数 2.执行的命令是可以通过参数控制的 3.有一个可以在外网可以访问的入口。
2023-05-27 20:54:14
36
1
原创 整理的笔记2
数组末尾添加一个元素使用push,头部添加一个元素使用unshift,删除末尾元素用pop。原生数据类型:string,number,Boolean,null,undefined。可以做 Web/移动端App、实时联网App、命令行工具、游戏。在同一个数组中每个元素都可以是不同的数据类型 索引从0开始。char(10)'ABC ' (定长字符)let 值可被修改 可以不在声明变量时初始化数值。===考虑数据类型 ==不考虑数据类型。:单行:-- 多行:/* */
2023-05-27 20:50:51
56
1
原创 整理的笔记
首字节范围在1-127的为A类,在128-191的为B类,在192-223的为C类,在224-239的为D类,在240-255的为E类。攻击者利用Web服务器中的代码漏洞,在页面中嵌入客户端脚本,当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。会话层:会话层的服务是完成各方交互信息之前的会话建立准备工作,这里的工作包括确认通信方的身份,确认通信方可以执行的操作等,因此如AAA中的认证、授权等功能皆属于会话层的服务。
2023-05-27 20:46:03
237
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人