- 博客(45)
- 收藏
- 关注
RSS订阅原创 SSRF相关
用户输入完url之后,服务器提取 url 中的host并进行dns解析为ip,然后判断ip是否在指定范围内,但是在判断得到的 ip 为指定范围内的ip,到服务器请求url这个过程中间存在一个细微的时间差。DNS重绑定利用的就是这个时间差,让服务器第一次解析host的ip为符合的公网ip,在第二次请求解析 url时host的ip又变为不符合规则的内网ip,从而进行SSRF。/proc/net/arp //arp缓存c存放位置,其中保存着最近通信过的设备的 IP 地址与 MAC 地址的映射关系。
2025-05-12 20:59:54
725
原创 CSRF记录
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。访问页面后就成功向http://xxx.org/csrf.php 发送了一次请求。使用一个自动提交的表单,模拟用户完成一次POST操作。头像可控+csrf=无交互的csrf。
2025-05-12 20:59:23
480
原创 js相关内容
例如/user/getNameByid这种类似的接口,或者跟用户有关的接口,里面大概率会存在用户id参数,同一套系统的用户id参数基本相同,所以这也是一个办法。通过f12的network,刷新当前页面并检索关键字,例如getMobileByid,例如/user这种关键字,有时会泄露出对应接口的传参方式。搜/user/getMobileByid,也就是历史可能抓过这个包,自然就携带了正常的传参。首先根据接口名判断,这里需要传入的参数大概率是一个用户id,方法如下。data(POST请求时会有data)
2025-05-12 20:58:37
270
原创 SQL注入
id=1" and 1=updatexml(1,concat(0x7e,substr((select group_concat(concat(username,‘:’,password)) from users),1,31)),3)–+ //获取username和password字段内容,使用usbstr函数每次截取31个字符。
2025-05-12 20:57:22
998
原创 RCE联系
<<是bash中的Here String重定向符,会将后面的字符串作为标准输入传递给左边的命令。$0代表当前脚本名称,如何在bash里运行代表/bin/bash。后面那段是八进制绕过,相当于$'cat /f* > 1.txt'使用$0执行bash,<<<将后面的字符串传递给左边的命令。
2025-05-12 20:56:51
331
原创 文件上传总结
攻击与绕过方式一、条件竞争攻击原理:在上传文件的同时利用代码逻辑中的时序问题(如 unlink() 删除操作)触发条件竞争,从而实现上传恶意文件并绕过限制。示例测试源码:phpif (!?木马文件内容:新建一个php木马名为jignzheng.php,内容如下:>');?这个马的作用是创建一个名为jz.php的文件,并将一句话木马写入。
2025-05-12 20:54:33
999
原创 SSTI记录
在__builtins__模块中, Python在启动时就直接为我们导入了很多内建函数,如:eval exec等由于存在危险函数,可以直接调用命令来执行操作 (windows弹计算器要用calc命令)也是成功弹计算器了{{url_for.
2025-05-12 20:54:02
823
原创 XXE记录
opt/IBM/Websphere/AppServer/properties/sip-app10.dtd 是websphere上默认存在的dtd,可以通过加载它触发报错返回读取文件的内容。%dtd请求远程服务器(攻击机)上的evil.xml,然后%payload调用%file,%file获取对方服务器上的敏感文件,最后替换%send,数据被发送到攻击机上,实现数据的外带。ENTITY,指向外部文件的XML文件,DTD中定义了xxe的外部实体,在元素name中处罚,并渲染内容/etc/passwd。
2025-05-12 20:53:25
829
原创 提权相关记录
1、异常的.so文件:在进行 UDF提权时,攻击者通常会将恶意共享库文件(.so文件)放在 MySQL 插件目录中。这个目录的默认路径通常是 /usr/lib/mysql/plugin/,但具体路径取决于 MySQL 的安装和配置。2、上传恶意插件:利用Mysql的文件上传功能,将写好的插件上传到服务器某个位置(通常是/usr/lib/mysql/plugin)。● usr/lib/mysql/plugin/ 是 MySQL 的默认插件目录,MySQL 有权限加载和执行该目录中的共享库文件。
2025-05-12 20:52:57
443
原创 redis相关
Redis是用C语言开发的一个开源的高性能键值对(key-value)数据库1.数据间没有必然的联系2.内部采用单线程机制工作3.性能高,支持每秒十几万次的读写操作4.多数据类型支持:字符串类型(string)、列表类型(list)、散列类型(hash)、集合类型(set)、有序集合类型(sorted_set)5.持久化支持Redis的应用场景也非常广泛,如热点新闻、购票抢票、即时信息查询、时效性信息控制、消息队列、分布式锁等等。默认端口:6379string类型。
2025-05-12 20:51:27
1040
原创 记一次redis未授权被种挖矿
内容:*/50 * * * * sh /etc/nnt.sh >/dev/null 2>&1。#先查看定时任务的拓展属性,不可变(immutable)、只可追加(append-only)由于nnt.sh和httpgd有权限,只需要改一下拓展属性,即可删除。#重安一下e2fsprogs,这个包里面有chattrm命令。-bash: /usr/bin/chattr: 权限不够。定时任务只有所有者可以写,且chmod修改权限失败。#此时已经可以进行编辑了,先将内容删除。/etc/nnt.sh #大小问。
2025-05-12 20:49:50
469
原创 供应链学习
首要探测漏洞:弱口令、源码备份(.NET web环境 的备份文件如bin.rar,推荐使用ffuf)、网盘搜索(凌风云)前端文件中包含指纹:邮箱、链接:css/js等静态资源指向链接(hae的all url规则)2.广撒网:针对省市进行大批量供应链信息获取和攻击:代码托管平台(gitlab、gitea)例:manage/images/loginbg0110,然后在fofa上搜,然后下载下来。第三方:网盘、alist等、oss存储桶(列桶、列目录等)供应链:整个业务系统中的节点(一般是上游节点)
2025-05-12 20:49:14
295
原创 jwt学习
secret_key是保存在服务端的,jwt的签发也发生在服务端,secret_key就是用来进行jwt的签发和验证。如果可以将alg字段设成None,那么jwt的第三部分会被置空,这样任何token都是有效的,即造成任意用户访问。客户端接收服务器端返回的jwt,并存储在cookie或localStorage中,接下来的交互都会带有jwt。存放数据有效信息的地方,包含三部分:标准中注册的声明、公共的声明、私有的声明。● exp: jwt的过期时间,这个过期时间必须要大于签发时间。
2025-05-12 20:48:43
388
原创 小皮面板从未授权到RCE
保存到本地之后使用navicat打开,直接导入表会报错,这里我用的是新建连接一个SQLite,并且选中app.db进行连接。存在鉴权绕过,可构造恶意请求直接访问后台管理接口,结合任意文件下载获取数据库文件,并提取ssh私钥,实现RCE。小皮的终端连接无需安全面板,通过WS协议通信执行命令,只需要伪造token即可连接服务器执行命令。然后可以根据规则去搜索⾯板相关接⼝,有些接⼝在⾯板⾥没有使⽤到,但是可以直接调⽤的。这里只要注册账号,获得一个可以成功登录的token,即可用在任意服务器上登录了。
2025-05-12 20:30:17
1136
原创 pickle反序列化
pickle简介pickle是python下的序列化与反序列化包。pickle以二进制储存,不易于人工阅读。pickle能表示python几乎所有的类型(包括自定义类型),json只能表示一部分内置类型且不能表示自定义类型。!!!pickle序列化的结果与操作系统有关,windows与linux构建的payload不能互通。
2025-04-08 16:58:18
236
原创 windows基础
1.echo2.dir 展示当前目录文件3.cd4.tree 树状图输出当前目录文件5.md(mkdir的缩写,用哪个都可以)6.cls清屏7.copy8.move10.del 永久删除删除11.ping12.type 显示文本文件内容13.reg(注册表)14.nslookup 探测域名信息15.find 查找16.tasklist 任务列表,显示出当前进程名称等信息17.taskkill 杀死进程18.ver winver 查看系统版本19.start 启动命令。
2025-03-14 07:48:33
769
原创 js原型链污染
并且很少有真正的私有属性,类的所有属性都运行被公开的访问和修改,包括proto,构造函数和原型。merge函数通常用于将多个对象合并成一个,但主要是将一个对象的属性复制到另一个对象中,生成一个新的合并结果。是一个对象,包含构造函数的所有实例共享的属性和方法(即让该函数所实例化的对象们都能找到共用的属性和方法)。在js中一切引用类型都是对象。属性所指向的对象,如果这个原型对象(父对象)也不存在,就会继续沿着这个原型对象(父对象)的。每个对象从创建的开始就和另一个对象关联,从另一个对象上继承它的属性,其中的。
2025-03-14 07:47:44
1274
原创 docker学习
DockerFile就是用来构建docker镜像的构建文件(可以看作命令脚本,通过这个脚本可以生成镜像)1、每个保留关键字(指令)都要大写2、执行命令从上到下执行3、#表注释4、每个指令都会创建提交一个新的镜像层并提交DockerFile:构建文件,定义了一切的步骤、源代码DockerImages:通过DockerFile构建生成的镜像,最终发布和运行的产品Docker容器:容器就是镜像运行起来提供服务器构建步骤1、编写DockerFile文件2、docker build构建镜像。
2025-03-14 07:47:13
1374
原创 打靶练习-W1R3S、JARBAS、SickOS、Prime
80端口是一个CMS,8080端口是一个管理端登录页面,还发现一个robots.txt协议,robots.txt协议中说不希望机器人点击"build"按钮。扫描wordpress/wp-login.php目录和/administrator/installation/目录。出现了下面这个,意思是凭据被安全地加密了。扫描得到secret.txt文件,内容如下:要对每个php文件进行fuzz测试,如果得到参数,进行下一步。由于前面是扫描目录,不会扫描出文件,使用dirb加参数扫描.zip或.txt类型的文件。
2025-03-14 07:46:25
405
原创 linux提权
Linux Container(LXC)一种轻量级虚拟化技术,介于Chroot和完整开发的虚拟机之间,lxc可以创建一个根正常Linux操作系统十分接近的环境,但是不需要使用单独的内核资源。已知可以用来提权的linux可行性的文件列表:Nmap、vim 、find、Bash 、sh 、More 、Less 、SH 、CP 、awk。passwd是全用户可读,root可写。选项时,这时如果客户端使用的是root用户,那么对于共享目录来说,该客户端就有root权限,可以使用它来提升权限。
2025-03-14 07:45:30
1261
原创 HTB-administrator
WinRM 是 Microsoft 提供的远程管理协议,允许远程执行命令、启动进程、管理系统设置等,类似于 Unix 系统中的 SSH。在 Active Directory (AD) 环境中,GenericWrite 是一种权限,允许攻击者对目标账户的属性进行修改。(Service Principal Name,标识服务实例的唯一名称) 的账户请求服务票据。请求服务票据并提取票据。进行枚举,验证提供的凭据是否可用,并查看是否存在有用的共享目录。的 SMB 登录有效,但未发现有用的共享目录,仅能读取常见的。
2025-03-14 07:44:48
1121
原创 XSS总结
XSS(Cross-Site Scripting,跨站脚本攻击)是一种经典的网络攻击技术,攻击者通过注入恶意代码,使其在用户的浏览器中执行,从而窃取敏感信息、控制用户会话或劫持网页行为。属于非持久型,触发点在url参数里,提交数据到服务器,服务器返回给浏览器,需手动发给用户,用户点击之后触发js代码。指的是当图片加载不出来的时候会触发js函数,因为这里src指的是666,而不是图片地址,就会触发alert函数。换一个支持flash插件的浏览器,使用前面的payload,但是由于有实体化函数,无法闭合。
2025-03-14 07:44:10
1117
原创 sql注入总结
因为mysql在使用GBK编码时,如果前一个字符的ascii码值大于128,会将两个字符当作一个汉字,所以只要输入的数据大于等于%81就可以使’逃逸出来。addslashes():PHP中用于转义字符串中的特殊字符(单引号、双引号、反斜线、NULL字符),它会在指定 的预定义字符前面加上反斜杠,防止这些字符被误认为是代码注入。主要利用replace(str,old_str,new_str)函数进行构造(将str中的old_str替换成new_str然后返回) str中的编码不会被替换。
2025-03-14 07:43:04
1177
原创 RCE总结
例:scandir(‘.’)能返回当前目录,虽然无法传参,但可以利用localeconv()返回. 并且用current()取第一个值实现,即用current(localeconv())构造一个点.此时flag.php位置较靠后,用array_reverse将数组反转,然后用next选择第二个即flag.php,然后读取flag.php文件。先利用current将localeconv中的.取出来,然后用scandir返回当前目录中的文件和子目录,得到当前flag在flag.php。php> <?
2025-03-14 07:42:23
1011
原创 玄机靶场--第一章 应急响应-webshell查杀
可以尝试搜索jsp、php、asp、aspx这几种特殊后缀文件,并尝试寻找其中的危险函数来查找webshell。可以得到gz.php、.Mysqli.php、shell.php这三个webshell文件。观察gz.php中前三行,以及key值,可以得知这是哥斯拉的webshell。1、可以通过对比ls命令与ls -la命令的输出结果寻找这个隐藏文件。,根据前三行和key即可得知是哥斯拉木马流量特征,得到第二问答案。目录下的文件dump下来,这里使用D盾扫描。,其中的注释部分即为第一问答案。
2025-02-01 10:55:44
1892
原创 玄机靶场--第一章 应急响应- Linux入侵排查
和上一次的webshell查杀一样,可以尝试搜索jsp、php、asp、aspx这几种特殊后缀文件,并尝试寻找其中的危险函数来查找webshell。剩下的没有扫出来的使用云沙箱等工具扫描,这里使用微步的云沙箱发现shell(1).elf文件,并且可以找到服务器ip以及端口。产生的,这段代码作用是判断传入的密码的MD5值是否正确,如果正确,则可以通过POST提交的参数cmd进行命令执行。在html目录下存在一个’shell(1).elf’文件,尝试执行,发现没有权限,直接给777权限,然后执行。
2025-01-30 18:12:16
1733
原创 文件上传漏洞利用与绕过姿势总结
本文解析了文件上传漏洞的核心原理和多种利用技巧,包括条件竞争、文件头伪造、二次渲染结合文件包含、短标签利用等,结合真实案例详细解析了双文件上传、Content-Disposition 绕过等复杂场景的攻击流程.
2025-01-04 22:00:27
3788
原创 Windows系统基础(三):服务端口指南
介绍windows服务端口常见的web服务端口、网络服务端口、邮件服务端口、远程服务端口、其他服务端口等
2024-12-13 13:17:08
3070
原创 Windows系统基础(二):本地组与本地安全策略
能够登录系统并使用系统资源的实体。每个用户都有唯一的用户名和密码,用于标识和验证身份。:用户的集合,用于简化权限管理。将权限分配给组,组内的所有用户自动继承这些权限。
2024-12-12 16:53:25
2093
原创 windows系统基础(一):操作系统基础与管理技巧
1. 系统设置基础了解Windows的基本设置,如何配置用户账户、调整显示设置以及安装应用程序。2. 优化性能通过一些简单的操作来提升系统的运行速度和响应能力,包括磁盘清理和资源管理技巧。3. 安全与隐私介绍如何保障Windows系统的安全性,设置防火墙、更新系统以及使用防病毒软件保护您的数据。
2024-12-11 11:52:13
1953
原创 SQL注入攻防揭秘:从基础原理到高级绕过技巧
因为mysql在使用GBK编码时,如果前一个字符的ascii码值大于128,会将两个字符当作一个汉字,所以只要输入的数据大于等于%81就可以使’逃逸出来。addslashes():PHP中用于转义字符串中的特殊字符(单引号、双引号、反斜线、NULL字符),它会在指定 的预定义字符前面加上反斜杠,防止这些字符被误认为是代码注入。主要利用replace(str,old_str,new_str)函数进行构造(将str中的old_str替换成new_str然后返回) str中的编码不会被替换。
2024-12-10 11:38:00
1100
原创 域渗透提权:HTB--Administrator
WinRM 是 Microsoft 提供的远程管理协议,允许远程执行命令、启动进程、管理系统设置等,类似于 Unix 系统中的 SSH。在 Active Directory (AD) 环境中,GenericWrite 是一种权限,允许攻击者对目标账户的属性进行修改。(Service Principal Name,标识服务实例的唯一名称) 的账户请求服务票据。请求服务票据并提取票据。进行枚举,验证提供的凭据是否可用,并查看是否存在有用的共享目录。的 SMB 登录有效,但未发现有用的共享目录,仅能读取常见的。
2024-12-07 14:16:45
3485
原创 RCE漏洞及绕过技巧:从基础到高级实战攻略
例:scandir(‘.’)能返回当前目录,虽然无法传参,但可以利用localeconv()返回. 并且用current()取第一个值实现,即用current(localeconv())构造一个点.此时flag.php位置较靠后,用array_reverse将数组反转,然后用next选择第二个即flag.php,然后读取flag.php文件。先利用current将localeconv中的.取出来,然后用scandir返回当前目录中的文件和子目录,得到当前flag在flag.php。php> <?
2024-12-06 16:10:15
1425
原创 全面信息收集指南:渗透测试中的关键步骤与技巧
信息收集,又称资产收集,是渗透测试过程中至关重要的前期工作。通过系统化地收集目标的关键信息,为后续的测试和攻击奠定基础。只有全面掌握目标的信息,才能更高效地找到潜在的突破点。域名及子域名信息:识别目标站点的主域名及其关联子域名。目标站点基本信息:获取站点的架构、技术栈及功能模块。目标真实IP地址:绕过CDN等防护措施,直接定位服务器地址。敏感目录及文件:查找暴露的敏感数据或未授权访问的资源。开放端口及服务信息:枚举端口对应的服务及版本信息,识别潜在漏洞。中间件和技术组件。
2024-12-04 16:05:32
2773
原创 Web 安全必读:跨站脚本攻击 (XSS) 原理与防御指南
XSS(跨站脚本攻击)通过注入恶意代码使其在用户浏览器中执行,窃取敏感信息或操控网页行为。攻击方式包括动态注入、文件攻击、URL参数、HTTP头、JSON数据、富文本编辑器等。主要分为反射型、存储型和DOM型,可通过过滤输入、转义输出、防范第三方文件等手段防御
2024-12-02 11:42:38
2776
原创 Linux提权之八大实战利器与高权限操作技巧
本文记录了Linux系统提权的多种实战技术,从SUID文件、sudo权限配置,到计划任务漏洞和环境变量劫持,覆盖了提权的核心要点。此外,还探讨了内核漏洞、NFS配置问题以及通配符劫持的利用技巧
2024-11-27 11:04:35
3927
原创 JS原型、原型链以及原型链污染学习
JavaScript 的原型与原型链是语言的核心机制,决定了对象属性的继承与访问方式。通过原型链,对象可以沿着其隐式原型 (__proto__) 一层层向上查找,直至 null,从而实现动态的继承关系。虽然这一机制功能强大,但也带来了潜在的安全隐患——原型链污染。核心知识与特性__proto__、prototype 与 constructor__proto__ 是对象的隐式原型,指向其构造函数的显式原型 (prototype)。prototype 是函数独有的属性,定义了实例共享的属性和方法。
2024-11-25 10:52:29
1632
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人